سایه های SolarWinds : حمله بدافزار جدید یافت شده ‘ Tomiris ‘ Backdoor

به تازگی محققان امنیت سایبری یک backdoor جدید که احتمالاً توسط گروه تهدیدات پیشرفته مداوم AP Nobelium که در پس حملات زنجیره تأمین سال گذشته SolarWinds قرار داشته و نقش طراحی و توسعه آن را به عهده داشته اند را فاش کردند.

شرکت روسی kaspersky این بدافزار را “Tomiris” نامگذاری کرده و شباهت‌های آن را با بدافزار second-stage دیگری با اسم SUNSHUTTLE (معروف به GoldMax) که در طی کمپین مورد استفاده قرار گرفته و پلتفرم Orion (ارائه دهنده نرم‌افزار مدیریت فناوری اطلاعات) را هدف قرار می‌داده، اعلام کرده است. Nubelium همچنین با نام های تجاری UNC2452 ،SolarStorm ،StellarParticle ،Dark Halo و Iron Ritual نیز شناخته می‌شود.

محققان kaspersky می‌گویند: “در حالی که حملات زنجیره تأمین قبلاً یک سیر حملات مستند داشت که توسط تعدادی از عاملان APT مورد استفاده قرار می‌گرفت، اما این کمپین خاص به دلیل رعایت شدید جوانب احتیاط توسط مهاجمان و ماهیت برجسته قربانیان آن‌ها مورد توجه واقع شد. شواهد جمع‌آوری شده تا کنون نشان می‌دهد که Dark Halo شش ماه را در شبکه‌های IT پلتفرم Orion گذرانده تا توانایی حملات خود را کامل کند و اطمینان حاصل کند که دستکاری آن‌ها در زنجیره ساخت هیچگونه عوارض جانبی ایجاد نخواهد کرد”.

Microsoft، که SUNSHUTTLE را در مارس ۲۰۲۱ معرفی نمود، این نوع را یک بدافزار مبتنی بر زبان برنامه‌نویسی Go توصیف کرد که به عنوان command-and-control backdoor عمل می‌کند و یک اتصال ایمن با سرور تحت کنترل مهاجم برای دریافت و اجرای دستورات دلخواه در دستگاه آسیب دیده و همچین انتقال فایل‌ها از سیستم به سرور ایجاد می‌کند.

درب پشتی یا backdoor جدید Tomiris، که توسط کسپرسکی در ماه ژوئن سال جاری از نمونه‌های مربوط به ماه فوریه یافت شده، همچنین در Go نوشته شده و از طریق یک حمله سرقت DNS اجرا شده است. در طی آن حمله، اهداف به تلاش برای دسترسی به صفحه ورود به سیستم یک سرویس‌ایمیل شرکتی هدایت می‌شدند. در ادامه دامنه تقلبی که با رابط کاربری و اینترفیس شبیه به هم طراحی شده، بازدیدکنندگان را فریب دهد تا بدافزار را تحت عنوان یک بروزرسانی امنیتی دانلود نمایند.

اعتقاد بر این است که این حملات علیه چندین سازمان دولتی در یکی از کشور‌های عضو سازمان CIS انجام شده است.

محققان در ادامه علاوه بر یافتن شباهت‌های متعدد، از طرح رمزگذاری تا همان اشتباهات املایی که در مجموع به “امکان اصلاحات مشترک یا شیوه‌های توسعه مشترک” اشاره می‌کند، افزودند: “هدف اصلی backdoor ایجاد پایگاهی در سیستم هدف و مورد حمله و به تبعیت از آن، دانلود سایر اجزای مخرب است”.

این اولین بار نیست که همپوشانی‌هایی بین ابزار‌های مختلف که توسط عامل تهدید استفاده می‌شود، کشف می‌شود. در اوایل سال جاری نیز تجزیه و تحلیل کسپرسکی بر روی Sunburst، تعدادی از ویژگی‌های مشترک بین این بدافزار و Kazuar را مشخص کرد و نشان داد که این اشتراک، یک backdoor مبتنی بر .NET است که به گروه Turla نسبت داده می‌شود. جالب اینجاست که این شرکت امنیت سایبری اعلام کرد Tomiris را در شبکه‌هایی که سایر دستگاه‌ها به Kazuar آلوده شده‌اند، شناسایی کرده است و این نکته بر این احتمال می‌افزاید که هر سه خانواده بدافزار با یکدیگر مرتبط هستند.

لازم به ذکر است، محققان خاطرنشان کرده‌اند که ممکن است در حالت و جایی که عاملان تهدید عمداً تاکتیک‌ها و تکنیک‌های اتخاذ شده توسط یک مهاجم شناخته شده را در راستای تلاش برای گمراه کردن محققان جهت تشخیص منبع حملات، بازتولید می‌کنند، قربانیان مورد حمله false flag نیز قرار بگیرند.

این افشاگری چند روز پس از آن صورت می‌گیرد که Microsoftیک ایمپلنت passive و بسیار هدفمند با نام FoggyWeb را که توسط گروه Nobelium برای payload اضافی و سرقت اطلاعات حساس از سرور‌های Active Directory Services (AD FS) استفاده شده را به کار گرفت.

دربارهAmin Fayyazi

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.