Tomiris-achterdeurtje

Op de SAS 2021-conferentie spraken onze experts over het Tomiris-achterdeurtje, dat gelinkt lijkt te zijn aan de DarkHalo-groep.

Onze experts hebben een nieuw achterdeurtje gevonden dat cybercriminelen al gebruiken om gerichte aanvallen. De backdoor, genaamd Tomiris, lijkt in een aantal opzichten op Sunshuttle (alias GoldMax), malware die DarkHalo (alias Nobelium) gebruikte in een supply-chain-aanval tegen klanten van SolarWinds.

De mogelijkheden van Tomiris

De voornaamste taak van het Tomiris-achterdeurtje is het afleveren van extra malware op de computer van het slachtoffer. Het staat in constante verbinding met de C&C-server van de cybercriminelen en downloadt van daaruit uitvoerbare bestanden, die het uitvoert met de opgegeven argumenten.

Onze experts hebben ook een variant gevonden die bestanden steelt. De malware selecteerde recent aangemaakte bestanden met bepaalde extensies (onder andere .doc, .docx, .pdf, .rar), en uploadde deze vervolgens naar de C&C-server.

De makers van het achterdeurtje hebben hem voorzien van verschillende functies om beveiligingstechnologieën te misleiden en onderzoekers om de tuin te leiden. Bij aflevering doet de malware bijvoorbeeld 9 minuten lang niets, een vertraging waarmee sandbox-gebaseerde detectiemechanismen waarschijnlijk worden misleid. Bovendien is het adres van de C&C-server niet direct in Tomiris gecodeerd – de URL en poortinformatie komen van een signaleringsserver.

Hoe Tomiris op computers terecht komt

Om de backdoor te leveren, gebruiken cybercriminelen DNS hijacking om het verkeer van de mailservers van de doelorganisaties om te leiden naar hun eigen schadelijke sites (waarschijnlijk door de inloggegevens voor het controlepaneel op de site van de registrar van de domeinnaam te verkrijgen). Op die manier kunnen ze klanten naar een pagina lokken die lijkt op de inlogpagina van de echte maildienst. Wanneer iemand op de valse pagina gegevens invoert, krijgen de boosdoeners die gegevens natuurlijk onmiddellijk in handen.

Natuurlijk vragen sites gebruikers soms een beveiligingsupdate te installeren om te kunnen functioneren. In dit geval was de update in werkelijkheid een downloader voor Tomiris.

Voor meer technische details over de Tomiris-backdoor, samen met indicators of compromise en waargenomen connecties tussen Tomiris en DarkHalo tools, kunt u onze Securelist-post lezen.

Hoe u zich hiertegen beschermt

De hierboven beschreven methode voor het afleveren van malware werkt niet als de computer die toegang heeft tot de webmail-interface wordt beschermd door een robuuste beveiligingsoplossing. Bovendien kan elke activiteit van APT-operators in het bedrijfsnetwerk worden opgespoord met behulp van de experts die Kaspersky Managed Detection and Response aansturen.

Tips