Tomiris Backdoor: Posible nueva actividad del actor de amenazas detrás del ataque Sunburst. Mientras investigaban una amenaza de persistencia avanzada (APT) aún desconocida, los investigadores de Kaspersky identificaron una nueva pieza de malware que exhibe varios atributos clave que potencialmente apuntan a una conexión con DarkHalo, el actor de amenazas responsable del ataque Sunburst. Este es uno de los ataques a la cadena de suministro más impactantes de los últimos años.
El incidente de seguridad de Sunburst fue noticia en diciembre de 2020: el actor de amenazas DarkHalo comprometió a un conocido proveedor de software empresarial y usó su infraestructura para distribuir software espía bajo la apariencia de actualizaciones de software legítimas. Después de eso, el actor parecía haber desaparecido. Después de Sunburst, no se descubrieron incidentes importantes que pudieran atribuirse a este actor. Sin embargo, los resultados de investigaciones recientes realizadas por el Equipo de Análisis e Investigación Global (GReAT) de Kaspersky muestran que este no es el caso.
Ataque de secuestro de DNS contra organizaciones gubernamentales
En junio de 2021, más de seis meses después de que DarkHalo pasara a la clandestinidad, los investigadores de Kaspersky identificaron rastros de un exitoso ataque de secuestro de DNS contra varias organizaciones gubernamentales en el mismo país. El secuestro de DNS es un ataque en el que un nombre de dominio, utilizado para asociar la dirección URL de un sitio web con la dirección IP del servidor que lo aloja, se modifica de tal manera que el tráfico de la red se redirige a un servidor controlado por el atacante. En el caso descubierto por Kaspersky, los objetivos del ciberataque intentaron acceder a la interfaz web de uno de los servicios de correo electrónico de la empresa, pero fueron redirigidos a una copia falsa y, como resultado, descargaron una actualización de software malicioso. Los investigadores de Kaspersky siguieron el camino de los atacantes y descubrieron que esta 'actualización' contenía la puerta trasera 'Tomiris' previamente desconocida.
Backdoor obtiene más refuerzo de malware
Un análisis posterior reveló que el propósito principal de la puerta trasera era afianzarse en el sistema comprometido y descargar más componentes maliciosos; sin embargo, estos no pudieron identificarse durante la investigación. Sin embargo, la puerta trasera de Tomiris se parece mucho a Sunshuttle, el malware utilizado en el ataque Sunburst:
- Al igual que Sunshuttle, Tomiris se desarrolló en el lenguaje de programación Go.
- Ambas puertas traseras utilizan un único esquema de encriptación/ofuscación para codificar tanto las configuraciones como el tráfico de red.
- Ambos se basan en tareas programadas para ocultar sus actividades y utilizan la aleatoriedad y los retrasos en el sueño.
- El flujo de trabajo de ambos programas, especialmente la forma en que las características se dividen en funciones, es tan similar que los analistas de Kaspersky sospechan que esto podría indicar prácticas de desarrollo comunes.
- Se encontraron errores en inglés tanto en Tomiris ("isRunned") como en Sunshuttle ("EXECED" en lugar de "executed"). Esto indica que ambos programas maliciosos fueron creados por personas cuyo idioma nativo no es el inglés. Es bien sabido que el actor de DarkHalo habla ruso.
- La puerta trasera de Tomiris se descubrió en redes donde otras computadoras estaban infectadas con Kazuar, la misma puerta trasera conocida por su código que se superpone [2] con la puerta trasera Sunburst.
"Ninguno de estos puntos es, por sí solo, suficiente para asociar a Tomiris y Sunshuttle con suficiente seguridad", comenta Pierre Delcher, investigador de seguridad de Kaspersky. "Reconocemos que algunas de estas similitudes pueden ser coincidencias, pero aún creemos que, en conjunto, al menos plantean la posibilidad de una autoría común o prácticas de desarrollo comunes".
Sorprendentes similitudes entre las dos puertas traseras
"Si nuestra suposición de que Tomiris está vinculado a Sunshuttle es correcta, arrojaría nueva luz sobre la forma en que los actores de amenazas recalibran sus capacidades después de ser detectados", agrega Ivan Kwiatkowski, investigador de seguridad de Kaspersky. "Alentamos a la comunidad de inteligencia de amenazas a reproducir esta investigación y compartir sus opiniones sobre las similitudes que hemos descubierto entre Sunshuttle y Tomiris".
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/