Nossos especialistas descobriram uma nova backdoor que os cibercriminosos já estão usando em ataques direcionados. A backdoor, chamada Tomiris, é semelhante em várias maneiras ao Sunshuttle (também conhecido como GoldMax), malware que o DarkHalo (também conhecido como Nobelium) usou em um ataque à cadeia de suprimentos contra os clientes da SolarWinds.
Funcionalidades da Tomiris
A principal tarefa da backdoor Tomiris é entregar malware adicional à máquina da vítima. Está em comunicação constante com o servidor C&C dos cibercriminosos e baixa arquivos executáveis, que são executados com os argumentos especificados, a partir daí.
Nossos especialistas também encontraram uma variante para roubo de arquivos. O malware selecionou arquivos criados recentemente com certas extensões (.doc, .docx, .pdf, .rar e outros) e, em seguida, carregou-os no servidor C&C.
Os criadores do backdoor forneceram vários recursos para enganar as tecnologias de segurança e os investigadores. Por exemplo, na entrega, o malware não faz nada por 9 minutos, um atraso que provavelmente enganará qualquer mecanismo de detecção baseado em sandbox. Além disso, o endereço do servidor C&C não é codificado diretamente na Tomiris – a URL e as informações da porta vêm de um servidor de sinalização.
Como a Tomiris chega aos computadores
Para entregar a backdoor, os cibercriminosos usam o sequestro de DNS para redirecionar o tráfego dos servidores de e-mail das organizações-alvo para seus próprios sites maliciosos (provavelmente obtendo credenciais para o painel de controle no site do registrador de nomes de domínio). Dessa forma, eles podem atrair os clientes para uma página que se parece com a página de login do serviço de e-mail real. Naturalmente, quando alguém insere credenciais na página falsa, imediatamente as entrega para os hackers.
Às vezes os sites solicitam que os usuários instalem uma atualização de segurança para funcionar. Nesse caso, a atualização era na verdade uma forma de da Tomiris.
Para obter mais detalhes técnicos sobre a backdoor do Tomiris, junto com indicadores de comprometimento e conexões observadas entre as ferramentas Tomiris e DarkHalo, consulte o Securelist.
Como se manter seguro
O método de entrega de malware que descrevemos acima não funcionará se o computador que acessa a interface do Web mail estiver protegido por uma solução de segurança robusta. Além disso, qualquer atividade dos operadores dessa APT na rede corporativa pode ser detectada com a ajuda de especialistas que acionam o Kaspersky Managed Detection and Response.