Tomiris Backdoor: Possível nova atividade do agente de ameaça por trás do ataque Sunburst. Ao investigar uma Ameaça de Persistência Avançada (APT) ainda desconhecida, os pesquisadores da Kaspersky identificaram um novo malware que exibe vários atributos-chave que potencialmente apontam para uma conexão com DarkHalo, o ator responsável pelo ataque Sunburst. Este é um dos ataques mais impactantes da cadeia de suprimentos nos últimos anos.
O incidente de segurança do Sunburst ganhou as manchetes em dezembro de 2020: o agente de ameaças DarkHalo comprometeu um conhecido fornecedor de software corporativo e usou sua infraestrutura para distribuir spyware sob o disfarce de atualizações de software legítimas. Depois disso, o ator parecia ter desaparecido. Depois de Sunburst, nenhum incidente importante foi descoberto que pudesse ser atribuído a esse ator. No entanto, os resultados de investigações recentes da Equipe Global de Pesquisa e Análise da Kaspersky (GReAT) mostram que esse não é o caso.
Ataque de sequestro de DNS contra organizações governamentais
Em junho de 2021 - mais de seis meses depois que DarkHalo se tornou clandestino - os pesquisadores da Kaspersky identificaram vestígios de um ataque de sequestro de DNS bem-sucedido contra várias organizações governamentais no mesmo país. O sequestro de DNS é um ataque no qual um nome de domínio - usado para associar o endereço URL de um site ao endereço IP do servidor que o hospeda - é modificado de forma que o tráfego da rede seja redirecionado para um servidor controlado pelo invasor. No caso descoberto pela Kaspersky, os alvos do ciberataque tentaram acessar a interface web de um dos serviços de e-mail da empresa, mas foram redirecionados para uma cópia falsa da mesma e, na sequência, baixaram uma atualização de software malicioso. Os pesquisadores da Kaspersky seguiram o caminho dos invasores e descobriram que essa 'atualização' continha o backdoor 'Tomiris' anteriormente desconhecido.
Backdoor busca mais reforço de malware
Uma análise mais aprofundada revelou que o objetivo principal do backdoor era ganhar uma posição no sistema comprometido e baixar mais componentes maliciosos, no entanto, estes não puderam ser identificados durante a investigação. No entanto, o backdoor do Tomiris tem uma grande semelhança com o Sunshuttle - o malware usado no ataque do Sunburst:
- Assim como o Sunshuttle, o Tomiris foi desenvolvido na linguagem de programação Go.
- Ambos os backdoors usam um único esquema de criptografia/ofuscação para codificar as configurações e o tráfego de rede.
- Ambos contam com tarefas agendadas para ocultar suas atividades e usam aleatoriedade e atrasos no sono.
- O fluxo de trabalho de ambos os programas, especialmente a maneira como os recursos são divididos em funções, é tão semelhante que os analistas da Kaspersky suspeitam que isso possa indicar práticas de desenvolvimento comuns.
- Erros em inglês foram encontrados no Tomiris (“isRunned”) e no Sunshuttle (“EXECED” em vez de “executed”). Isso indica que ambos os programas maliciosos foram criados por pessoas cujo idioma nativo não é o inglês. É sabido que o ator DarkHalo fala russo.
- O backdoor Tomiris foi descoberto em redes onde outros computadores foram infectados com Kazuar - o mesmo backdoor conhecido por suas sobreposições de código [2] com o backdoor Sunburst.
"Nenhum desses pontos é, por si só, suficiente para associar Tomiris e Sunshuttle com segurança suficiente", comenta Pierre Delcher, pesquisador de segurança da Kaspersky. "Reconhecemos que algumas dessas semelhanças podem ser coincidência, mas ainda acreditamos que, tomadas em conjunto, pelo menos levantam a possibilidade de autoria comum ou práticas de desenvolvimento comuns."
Semelhanças impressionantes entre os dois backdoors
“Se nossa suposição de que o Tomiris está vinculado ao Sunshuttle estiver correta, isso lançaria uma nova luz sobre a maneira como os agentes de ameaças recalibram suas capacidades após serem detectados”, acrescenta Ivan Kwiatkowski, pesquisador de segurança da Kaspersky. “Incentivamos a comunidade de inteligência de ameaças a reproduzir esta pesquisa e compartilhar suas ideias sobre as semelhanças que descobrimos entre Sunshuttle e Tomiris”.
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/