Investigadores de ciberseguridad revelaron el miércoles una puerta trasera indocumentada probablemente diseñada y desarrollada por la amenaza persistente avanzada (APT) de Nobelium detrás del ataque a la cadena de suministro SolarWinds del año pasado , uniéndose al arsenal de herramientas de piratería en constante expansión del actor de amenazas.

La empresa Kaspersky, con sede en Moscú , nombró al malware » Tomiris » , destacando sus similitudes con otro malware de segunda etapa utilizado durante la campaña, SUNSHUTTLE (también conocido como GoldMax), que apunta a la plataforma Orion del proveedor de software de gestión de TI. Nobelium también es conocido por los apodos UNC2452, SolarStorm, StellarParticle, Dark Halo y Iron Ritual.

«Si bien los ataques a la cadena de suministro ya eran un vector de ataque documentado aprovechado por varios actores de APT, esta campaña específica se destacó por el cuidado extremo de los atacantes y la naturaleza de alto perfil de sus víctimas», dijeron los investigadores de Kaspersky . «La evidencia recopilada hasta ahora indica que Dark Halo pasó seis meses dentro de las redes de Orion IT para perfeccionar su ataque y asegurarse de que su manipulación de la cadena de construcción no causara ningún efecto adverso».

Microsoft, que detalló SUNSHUTTLE en marzo de 2021, describió la cepa como un malware basado en Golang que actúa como una puerta trasera de comando y control, estableciendo una conexión segura con un servidor controlado por el atacante para buscar y ejecutar comandos arbitrarios en la máquina comprometida como así como exfiltrar archivos del sistema al servidor.

La nueva puerta trasera de Tomiris, encontrada por Kaspersky en junio de este año a partir de muestras que datan de febrero, también está escrita en Go y se implementa mediante un exitoso ataque de secuestro de DNS durante el cual los objetivos que intentan acceder a la página de inicio de sesión de un servicio de correo electrónico corporativo fueron redirigidos a un dominio fraudulento configurado con una interfaz similar diseñada para engañar a los visitantes para que descarguen el malware bajo la apariencia de una actualización de seguridad.

Se cree que los ataques se llevaron a cabo contra varias organizaciones gubernamentales en un estado miembro de la CEI no identificado .

«El propósito principal de la puerta trasera era establecer un punto de apoyo en el sistema atacado y descargar otros componentes maliciosos», dijeron los investigadores, además de encontrar una serie de similitudes que van desde el esquema de cifrado hasta los mismos errores ortográficos que, en conjunto, apuntan a la «posibilidad de autoría común o prácticas de desarrollo compartidas».

Esta no es la primera vez que se descubren superposiciones entre diferentes herramientas puestas en uso por el actor de amenazas. A principios de este año, el análisis de Kaspersky de Sunburst reveló una serie de características compartidas entre el malware y Kazuar, una puerta trasera basada en .NET atribuida al grupo Turla. Curiosamente, la compañía de ciberseguridad dijo que detectó Tomiris en redes donde otras máquinas estaban infectadas con Kazuar, lo que agregó peso a las perspectivas de que las tres familias de malware podrían estar vinculadas entre sí.

Dicho esto, los investigadores señalaron que también podría ser un caso de un ataque de bandera falsa, en el que los actores de amenazas reproducen deliberadamente las tácticas y técnicas adoptadas por un adversario conocido en un intento de inducir a error la atribución.

La revelación se produce días después de que Microsoft tomara las envolturas de un implante pasivo y altamente dirigido denominado FoggyWeb que fue empleado por el grupo Nobelium para entregar cargas útiles adicionales y robar información confidencial de los servidores de Active Directory Federation Services (AD FS).

Fuente y redacción: thehackernews.com

Compartir