ردپای بدافزار جدید Tomiris در حملات Nobelium

تیم هکری Nobelium که در سال گذشته به شرکت Solarwinds حمله کرده بودند، به تازگی به دنبال توسعه درب پشتی جدیدی برای حملات نوین خود می‌باشند. این حملات ادامه فعالیت‌های مخرب سوء استفاده از آسیب پذیری AD-FS می‌باشد که پیش از این خبر آن پوشش داده شده است.

محصول جدید گروه هکری Nobelium

نام این بدافزار تازه کشف شده، Tomiris می‌باشد و اولین بار در ماه ژوئن امسال شناسایی شد، اگرچه اولین نمونه‌ها 4 ماه قبل از آن و در فوریه 2021 مورد استفاده قرار گرفته بودند (یک ماه پیش از این که بدافزار درب پشتی Sunshuttle  توسط FireEye پیدا شود و به Nobelium مرتبط شود). این بدافزار بعد از شناسایی حملات DNS hijacking که ارگان‌های مختلف دولتی یکی از کشورهای C.I.S را هدف قرار داده بود، کشف شد.

در این حملات، مهاجمان ترافیک ایمیل سرورهای دولتی را به سیستم‌های تحت کنترل خود هدایت می‌کردند. در همین راستا، قربانیان به صفحات ورودی webmail هدایت شده که به مهاجمان کمک می‌کند تا مشخصات ایمیل کاربران را سرقت کنند. در برخی موارد، افراد به نصب یک به روزرسانی نرم افزاری مخرب ترغیب می‌شوند که به جای آن، درب پشتی Tomiris را که قبلاً ناشناخته بود دانلود می‌کند. این حملات که در بیشتر موارد نسبتاً مختصر بوده‌اند، به نظر می‌رسد که در درجه اول ایمیل سرورهای سازمان‌های آسیب پذیر را هدف قرار داده است. 

با این وجود، محققان به طور قاطع درب پشتی Tomiris را به هکرهای دولتی Nobelium تحت حمایت روسیه مرتبط نمی‌دانند چرا که احتمال حمله false flag که برای گمراه کردن محققان بدافزار طراحی می‌شود، وجود دارد. یک فرضیه بسیار محتمل اما تأیید نشده این است که نویسندگان بدافزار Sunshuttle در حدود دسامبر 2020 هنگامی که عملیات SolarWinds کشف شد، توسعه Tomiris را به عنوان جایگزینی برای مجموعه ابزار لو رفته خود آغاز کردند.

در ماه‌های اخیر، بدافزارهای درب پشتی متعددی مرتبط با این گروه هکری (با نام‌های APT29 ،The Dukes ،Cozy Bear) کشف شده است و بدون شک Tomiris آخرین سری از این مجموعه بدافزار نخواهد بود.