سایه های SolarWinds : حمله بدافزار جدید یافت شده ‘ Tomiris ‘ Backdoor

به تازگی محققان امنیت سایبری یک backdoor جدید که احتمالاً توسط گروه تهدیدات پیشرفته مداوم AP Nobelium که در پس حملات زنجیره تأمین سال گذشته SolarWinds قرار داشته و نقش طراحی و توسعه آن را به عهده داشته اند را فاش کردند.
شرکت روسی kaspersky این بدافزار را “Tomiris” نامگذاری کرده و شباهتهای آن را با بدافزار second-stage دیگری با اسم SUNSHUTTLE (معروف به GoldMax) که در طی کمپین مورد استفاده قرار گرفته و پلتفرم Orion (ارائه دهنده نرمافزار مدیریت فناوری اطلاعات) را هدف قرار میداده، اعلام کرده است. Nubelium همچنین با نام های تجاری UNC2452 ،SolarStorm ،StellarParticle ،Dark Halo و Iron Ritual نیز شناخته میشود.
محققان kaspersky میگویند: “در حالی که حملات زنجیره تأمین قبلاً یک سیر حملات مستند داشت که توسط تعدادی از عاملان APT مورد استفاده قرار میگرفت، اما این کمپین خاص به دلیل رعایت شدید جوانب احتیاط توسط مهاجمان و ماهیت برجسته قربانیان آنها مورد توجه واقع شد. شواهد جمعآوری شده تا کنون نشان میدهد که Dark Halo شش ماه را در شبکههای IT پلتفرم Orion گذرانده تا توانایی حملات خود را کامل کند و اطمینان حاصل کند که دستکاری آنها در زنجیره ساخت هیچگونه عوارض جانبی ایجاد نخواهد کرد”.
Microsoft، که SUNSHUTTLE را در مارس ۲۰۲۱ معرفی نمود، این نوع را یک بدافزار مبتنی بر زبان برنامهنویسی Go توصیف کرد که به عنوان command-and-control backdoor عمل میکند و یک اتصال ایمن با سرور تحت کنترل مهاجم برای دریافت و اجرای دستورات دلخواه در دستگاه آسیب دیده و همچین انتقال فایلها از سیستم به سرور ایجاد میکند.
درب پشتی یا backdoor جدید Tomiris، که توسط کسپرسکی در ماه ژوئن سال جاری از نمونههای مربوط به ماه فوریه یافت شده، همچنین در Go نوشته شده و از طریق یک حمله سرقت DNS اجرا شده است. در طی آن حمله، اهداف به تلاش برای دسترسی به صفحه ورود به سیستم یک سرویسایمیل شرکتی هدایت میشدند. در ادامه دامنه تقلبی که با رابط کاربری و اینترفیس شبیه به هم طراحی شده، بازدیدکنندگان را فریب دهد تا بدافزار را تحت عنوان یک بروزرسانی امنیتی دانلود نمایند.
اعتقاد بر این است که این حملات علیه چندین سازمان دولتی در یکی از کشورهای عضو سازمان CIS انجام شده است.
محققان در ادامه علاوه بر یافتن شباهتهای متعدد، از طرح رمزگذاری تا همان اشتباهات املایی که در مجموع به “امکان اصلاحات مشترک یا شیوههای توسعه مشترک” اشاره میکند، افزودند: “هدف اصلی backdoor ایجاد پایگاهی در سیستم هدف و مورد حمله و به تبعیت از آن، دانلود سایر اجزای مخرب است”.
این اولین بار نیست که همپوشانیهایی بین ابزارهای مختلف که توسط عامل تهدید استفاده میشود، کشف میشود. در اوایل سال جاری نیز تجزیه و تحلیل کسپرسکی بر روی Sunburst، تعدادی از ویژگیهای مشترک بین این بدافزار و Kazuar را مشخص کرد و نشان داد که این اشتراک، یک backdoor مبتنی بر .NET است که به گروه Turla نسبت داده میشود. جالب اینجاست که این شرکت امنیت سایبری اعلام کرد Tomiris را در شبکههایی که سایر دستگاهها به Kazuar آلوده شدهاند، شناسایی کرده است و این نکته بر این احتمال میافزاید که هر سه خانواده بدافزار با یکدیگر مرتبط هستند.
لازم به ذکر است، محققان خاطرنشان کردهاند که ممکن است در حالت و جایی که عاملان تهدید عمداً تاکتیکها و تکنیکهای اتخاذ شده توسط یک مهاجم شناخته شده را در راستای تلاش برای گمراه کردن محققان جهت تشخیص منبع حملات، بازتولید میکنند، قربانیان مورد حمله false flag نیز قرار بگیرند.
این افشاگری چند روز پس از آن صورت میگیرد که Microsoftیک ایمپلنت passive و بسیار هدفمند با نام FoggyWeb را که توسط گروه Nobelium برای payload اضافی و سرقت اطلاعات حساس از سرورهای Active Directory Services (AD FS) استفاده شده را به کار گرفت.