Tomiris-Backdoor

Auf der SAS-Konferenz 2021 sprachen unsere Experten über die Tomiris-Backdoor, die vermutlich in Verbindung mit dem Bedrohungsakteur DarkHalo steht.

Unsere Experten haben eine neue Backdoor entdeckt, die bereits von Internetkriminellen für gezielte Angriffe genutzt wird. Backdoor heißt übersetzt Hintertür und ist ein alternativer Zugang zu einer Software oder zu einem Hardwaresystem, der den normalen Zugriffsschutz umgeht. Die Backdoor namens Tomiris weist mehrere Ähnlichkeiten mit der Sunshuttle-Malware (alias GoldMax) auf, die vom Bedrohungsakteur DarkHalo (alias Nobelium) in einem Angriff auf die Lieferkette von SolarWinds verwendet wurde.

Fähigkeiten von Tomiris

Die Hauptaufgabe von Tomiris besteht darin zusätzliche Malware in die Zielgeräte einzuschleusen. Die Backdoor stellt eine Verbindung zum Command-and-Control-Server der Internetverbrecher her und lädt ausführbare Dateien herunter, um beliebige Befehle auf dem kompromittierten Rechner abzurufen und auszuführen.

Unsere Experten entdeckten außerdem eine Variante, die Dateien stiehlt. Die Malware suchte kürzlich erstellte Dateien mit bestimmten Dateierweiterungen (.doc, .docx, .pdf, .rar usw.) aus und lud sie dann auf den Server hoch.

Die Entwickler haben die Backdoor mit unterschiedlichen Funktionen ausgestattet, um Sicherheitstechnologien auszutricksen und Forscher in die Irre zu führen. Beispielsweise bleibt die Malware bei der Lieferung die ersten 9 Minuten inaktiv – eine Verzögerung mit der höchstwahrscheinlich jeglicher Sandbox-basierter Erkennungsmechanismus umgangen werden kann. Darüber hinaus ist die Adresse des Command-and-Control-Servers nicht direkt in Tomiris codiert – die URL und die Port-Informationen stammen von einem Signaling-Server.

Wie Tomiris auf die Computer gelangt

Zur Lieferung der Backdoor verwenden die Internetkriminellen DNS-Hijacking, um den Traffic des Mail-Servers der Zielorganisation auf eine schädliche Website umzuleiten. (Möglicherweise wurden die Zugangsdaten für die Systemsteuerung auf der Seite des Domain-Name-Registrars gestohlen). Auf diese Weise werden die Kunden auf eine Seite weitergeleitet, die wie die echte Anmeldeseite des Maildienstes aussieht. Sobald jemand seine Zugangsdaten auf dieser gefälschten Website eingibt, werden die vertraulichen Daten direkt an die Cyberverbrecher weitergeleitet.

Diese Art von Webseiten bitten die Benutzer auch gelegentlich ein Sicherheitsupdate durchzuführen. In diesem Fall wurde bei der angeblichen Aktualisierung allerdings ein Downloader für Tomiris installiert.

Für detailliertere Informationen zur Tomiris-Backdoor sowie zu den Indicators of Compromise (IoC, Gefährdungsindikatoren) und den Verbindungen von Tomiris und den DarkHalo-Tools, werfen Sie bitte einen Blick auf unseren Artikel in der Securelist.

So können Sie sich schützen

Die Liefermethode für die Malware, die oben beschrieben wurde, funktioniert nicht, wenn der Computer, der für den Zugriff auf die Web-Mail-Benutzeroberfläche verwendet wird, mit einer robusten Sicherheitslösung ausgestattet ist. Darüber hinaus können die Aktivitäten von APT-Akteuren (Advanced-Persistence-Threats) im Unternehmensnetzwerk frühzeitig von Experten erkannt werden, die Kaspersky Managed Detection and Response verwenden.

Tipps