サンバーストの後継候補: トミリスのバックドア

16。 10月2021
| コメントはありません
カスペルスキーニュース

投稿を共有する

Tomiris Backdoor: Sunburst 攻撃の背後にある攻撃者による新しい活動の可能性。 Kaspersky の研究者は、未知の Advanced Persistence Threat (APT) を調査しているときに、Sunburst 攻撃の原因となった攻撃者である DarkHalo との関連性を示すいくつかの重要な属性を示す新しいマルウェアを特定しました。 これは、近年で最も影響力のあるサプライ チェーン攻撃の XNUMX つです。

Sunburst セキュリティ インシデントは 2020 年 XNUMX 月に話題になりました。脅威アクターの DarkHalo が有名なエンタープライズ ソフトウェア ベンダーに侵入し、そのインフラストラクチャを使用して、正規のソフトウェア アップデートを装ってスパイウェアを配布しました。 その後、俳優は姿を消したようです。 サンバーストの後、このアクターに起因する重大な事件は発見されませんでした。 しかし、Kaspersky の Global Research and Analysis Team (GReAT) による最近の調査結果は、そうではないことを示しています。

政府機関に対する DNS ハイジャック攻撃

2021 年 XNUMX 月 - DarkHalo が地下に潜ってから XNUMX か月以上後 - Kaspersky の研究者は、同じ国の複数の政府機関に対する DNS ハイジャック攻撃が成功した痕跡を特定しました。 DNS ハイジャックは、ドメイン名 (Web サイトの URL アドレスをそれをホストしているサーバーの IP アドレスに関連付けるために使用) が変更され、ネットワーク トラフィックが攻撃者によって制御されているサーバーにリダイレクトされるような方法で変更される攻撃です。 Kaspersky が発見したケースでは、サイバー攻撃の標的は、同社の電子メール サービスの XNUMX つの Web インターフェイスにアクセスしようとしましたが、その偽のコピーにリダイレクトされ、その結果、悪意のあるソフトウェア アップデートがダウンロードされました。 Kaspersky の研究者が攻撃者の経路をたどったところ、この「アップデート」には、これまで知られていなかった「Tomiris」バックドアが含まれていることがわかりました。

バックドアがさらなるマルウェア強化を取得

さらに分析を進めると、バックドアの主な目的は、侵害されたシステムに足場を築き、より悪意のあるコンポーネントをダウンロードすることであることが明らかになりましたが、調査中にこれらを特定することはできませんでした。 ただし、Tomiris バックドアは、Sunburst 攻撃で使用されたマルウェアである Sunshuttle によく似ています。

  • Sunshuttle と同様に、Tomiris は Go プログラミング言語で開発されました。
  • どちらのバックドアも、単一の暗号化/難読化スキームを使用して、構成とネットワーク トラフィックの両方をエンコードします。
  • どちらもスケジュールされたタスクに依存してアクティビティを隠し、ランダム性とスリープ遅延を使用します。
  • 両方のプログラムのワークフロー、特に機能が機能に分割される方法は非常に似ているため、カスペルスキーのアナリストは、これが一般的な開発慣行を示しているのではないかと疑っています。
  • Tomiris (「isRunned」) と Sunshuttle (「executed」ではなく「EXECED」) の両方で英語のバグが見つかりました。 これは、両方の悪意のあるプログラムが英語を母国語としない人々によって作成されたことを示しています。 DarkHalo 俳優がロシア語を話すことはよく知られています。
  • Tomiris バックドアは、他のコンピュータが Kazuar に感染しているネットワークで発見されました。そのコードで知られている同じバックドアは、Sunburst バックドアと重複しています [2]。

Kaspersky のセキュリティ研究者である Pierre Delcher は、次のようにコメントしています。 「これらの類似点のいくつかは偶然かもしれないことを認識していますが、それらをまとめると、少なくとも共通の作成者または共通の開発慣行の可能性が高まると信じています。」

XNUMX つのバックドアの驚くべき類似点

Kaspersky のセキュリティ研究者である Ivan Kwiatkowski は、次のように付け加えています。 「脅威インテリジェンス コミュニティには、この調査結果を再現し、Sunshuttle と Tomiris の間に発見された類似点についての考えを共有することをお勧めします。」

詳細は Kaspersky.com をご覧ください

 

カスペルスキーについて

Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。

 

トピックに関連する記事

レポート: 世界中でフィッシングが 40% 増加

カスペルスキーの 2023 年のスパムとフィッシングに関する現在のレポートがすべてを物語っています。ドイツのユーザーは次のようなことを求めています。 ➡続きを読む

BSI が Web ブラウザの最低基準を設定

BSI は管理用 Web ブラウザの最低標準を改訂し、バージョン 3.0 を公開しました。それを思い出すことができます ➡続きを読む

欧州企業を狙うステルスマルウェア

ハッカーはステルスマルウェアを使ってヨーロッパ中の多くの企業を攻撃しています。 ESETの研究者は、いわゆるAceCryptor攻撃が劇的に増加していることを報告しました。 ➡続きを読む

IT セキュリティ: LockBit 4.0 の基礎の解除

トレンドマイクロは英国国家犯罪庁(NCA)と協力し、開発中の未公開バージョンを分析した。 ➡続きを読む

Google Workspace 経由の MDR と XDR

カフェ、空港ターミナル、ホームオフィスなど、従業員はさまざまな場所で働いています。ただし、この開発には課題も伴います ➡続きを読む

テスト: エンドポイントおよび個々の PC 用のセキュリティ ソフトウェア

AV-TEST ラボからの最新のテスト結果は、Windows 向けの 16 の確立された保護ソリューションの非常に優れたパフォーマンスを示しています。 ➡続きを読む

FBI:インターネット犯罪報告書、被害額は12,5億ドルと集計 

FBI のインターネット犯罪苦情センター (IC3) は、2023 万人以上からの情報を含む 880.000 年のインターネット犯罪報告書を発表しました。 ➡続きを読む

HeadCrab 2.0 を発見

Redis サーバーに対する HeadCrab キャンペーンは 2021 年から活動を続けており、引き続き新しいバージョンのターゲットへの感染に成功しています。犯罪者のミニブログ ➡続きを読む

カスペルスキー, ショートニュース
, , , ,