Наши эксперты нашли новый бэкдор, который уже используется злоумышленниками в целевых атаках. Бэкдор получил название Tomiris. По ряду признаков он похож на зловред Sunshuttle (он же GoldMax), который использовался группировкой DarkHalo (она же Nobelium) в атаке через цепочку поставок на клиентов компании SolarWinds.
Что умеет бэкдор Tomiris
Основная задача бэкдора Tomiris — доставка дополнительного вредоносного ПО на машину жертвы. Он постоянно опрашивает командный сервер злоумышленников, скачивает с него исполняемые файлы и запускает с указанными аргументами.
Кроме того, наши эксперты нашли вариант Tomiris, который умел похищать файлы. Зловред выбирал недавно созданные файлы с определенными расширениями (.doc, .docx, .pdf, .rar и так далее), а затем закачивал их на командный сервер.
Авторы бэкдора снабдили его рядом функций, цель которых — обмануть защитные технологии и запутать расследование инцидента. Так, попадая на компьютер, зловред ничего не делает целых девять минут — вероятно, для обмана механизмов детектирования на базе песочницы. Кроме того, внутри Tomiris не закодировано точного адреса командного сервера — он получает URL и порт от промежуточного звена.
Как Tomiris попадает на компьютер жертвы
Для доставки бэкдора на машину жертвы злоумышленники используют тактику перенаправления DNS-запросов. Каким-то образом (вероятно, получив учетные данные от контрольной панели на сайте регистратора доменных имен) они перенаправляют на собственные ресурсы трафик с почтовых серверов атакуемых организаций. В результате клиенты попадают на сайт, имитирующий оригинальную страницу логина для веб-интерфейса почтового сервиса.
Разумеется, введенные учетные данные незамедлительно попадали в руки злоумышленников. Однако иногда сайт выдавал нотификацию о необходимости установки обновления безопасности, без которого продолжить работу с сервисом невозможно. В качестве обновления скачивался загрузчик бэкдора Tomiris.
Больше технических подробностей о бэкдоре Tomiris вместе с индикаторами компрометации, а также признаки связи между Tomiris и инструментами группировки DarkHalo можно найти в посте на блоге Securelist.
Как оставаться в безопасности
Описанный метод доставки зловреда не сработает, если компьютер, с которого пользователь обращается к почтовому веб-интерфейсу, снабжен надежным защитным решением. Кроме того, активность операторов APT в корпоративной сети легко обнаружить при помощи сервиса Kaspersky Managed Detection and Response.