تیم هکری Nobelium که در سال گذشته به شرکت Solarwinds حمله کرده بودند، به تازگی به دنبال توسعه درب پشتی جدیدی برای حملات نوین خود میباشند. این حملات ادامه فعالیتهای مخرب سوء استفاده از آسیب پذیری AD-FS میباشد که پیش از این خبر آن پوشش داده شده است.
نام این بدافزار تازه کشف شده، Tomiris میباشد و اولین بار در ماه ژوئن امسال شناسایی شد، اگرچه اولین نمونهها 4 ماه قبل از آن و در فوریه 2021 مورد استفاده قرار گرفته بودند (یک ماه پیش از این که بدافزار درب پشتی Sunshuttle توسط FireEye پیدا شود و به Nobelium مرتبط شود). این بدافزار بعد از شناسایی حملات DNS hijacking که ارگانهای مختلف دولتی یکی از کشورهای C.I.S را هدف قرار داده بود، کشف شد.
در این حملات، مهاجمان ترافیک ایمیل سرورهای دولتی را به سیستمهای تحت کنترل خود هدایت میکردند. در همین راستا، قربانیان به صفحات ورودی webmail هدایت شده که به مهاجمان کمک میکند تا مشخصات ایمیل کاربران را سرقت کنند. در برخی موارد، افراد به نصب یک به روزرسانی نرم افزاری مخرب ترغیب میشوند که به جای آن، درب پشتی Tomiris را که قبلاً ناشناخته بود دانلود میکند. این حملات که در بیشتر موارد نسبتاً مختصر بودهاند، به نظر میرسد که در درجه اول ایمیل سرورهای سازمانهای آسیب پذیر را هدف قرار داده است.
با این وجود، محققان به طور قاطع درب پشتی Tomiris را به هکرهای دولتی Nobelium تحت حمایت روسیه مرتبط نمیدانند چرا که احتمال حمله false flag که برای گمراه کردن محققان بدافزار طراحی میشود، وجود دارد. یک فرضیه بسیار محتمل اما تأیید نشده این است که نویسندگان بدافزار Sunshuttle در حدود دسامبر 2020 هنگامی که عملیات SolarWinds کشف شد، توسعه Tomiris را به عنوان جایگزینی برای مجموعه ابزار لو رفته خود آغاز کردند.
در ماههای اخیر، بدافزارهای درب پشتی متعددی مرتبط با این گروه هکری (با نامهای APT29 ،The Dukes ،Cozy Bear) کشف شده است و بدون شک Tomiris آخرین سری از این مجموعه بدافزار نخواهد بود.
