By 
کارشناسان ما یک درب پشتی جدید پیدا کرده اند که مجرمان سایبری از آن در حملات هدفمند استفاده می کنند. درب پشتی که Tomiris نامیده می شود ، از جهات مختلف مشابه Sunshuttle (معروف به GoldMax) است ، بدافزاری که DarkHalo (معروف به نوبلیوم) در حمله زنجیره تامین به مشتریان SolarWinds استفاده می کرد.
قابلیت های Tomiris
The Tomiris backdoor's وظیفه اصلی ارائه بدافزار اضافی به دستگاه قربانی است. در ارتباط مداوم با سرور C&C مجرمان سایبری است و فایل های اجرایی را که با استدلال های مشخص اجرا می شود ، از آنجا بارگیری می کند.
کارشناسان ما همچنین یک نوع سرقت فایل را پیدا کردند. بدافزار انتخاب شده اخیراً پرونده هایی با پسوندهای خاص (.doc ، .docx ، .pdf ، .rar و دیگران) ایجاد کرده و سپس آنها را در سرور C&C بارگذاری کرده است. محققان را گمراه کند به عنوان مثال ، هنگام تحویل ، بدافزار هیچ کاری برای 9 دقیقه انجام نمی دهد ، تأخیری که احتمالاً مکانیسم های تشخیص مبتنی بر سندبکس را فریب می دهد. علاوه بر این ، آدرس سرور C&C مستقیماً در داخل Tomiris رمزگذاری نمی شود – آدرس URL و اطلاعات پورت از یک سرور سیگنال دهی دریافت می شود. سرورهای ایمیل سازمانها را به سایتهای مخرب خود (احتمالاً با به دست آوردن اعتبار برای کنترل پنل در سایت ثبت نام دامنه) ، هدف قرار دهید. به این ترتیب ، آنها می توانند مشتریان را به صفحه ای که شبیه صفحه ورود سرویس ایمیل واقعی است جذب کنند. به طور طبیعی ، هنگامی که شخصی اطلاعات کاربری را در صفحه جعلی وارد می کند ، بدخواهان بلافاصله آن اعتبار را دریافت می کنند.
البته ، گاهی اوقات سایت ها از کاربران درخواست نصب یک به روزرسانی امنیتی را برای عملکرد می کنند. در این مورد ، به روز رسانی در واقع یک برنامه دانلود برای Tomiris بود. safe
اگر رایانه ای که به رابط ایمیل وب دسترسی پیدا می کند توسط یک راه حل امنیتی قوی محافظت شود ، روش تحویل بدافزار که ما در بالا توضیح دادیم کار نمی کند. علاوه بر این ، هرگونه فعالیت اپراتورهای APT در شبکه شرکتی را می توان با کمک متخصصان فعال در تشخیص و پاسخگویی کسپرسکی تشخیص داد.
(تابع (d، s، id) {var js، fjs = d.getElementsByTagName (s) [0]؛ if (d.getElementById (id)) {return} js = d.createElement (s)؛ js.id = id؛ js.src = "https: //connect.facebook.net /en_US /all.js"؛ fjs.parentNode.insertBefore (js، fjs)} (سند ، "اسکریپت" ، "facebook-jssdk "))؛ .
