Как показывают свежие данные «Лаборатории Касперского», русскоязычный злоумышленник, скрывающийся за бэкдором, известным как «Tomiris», в первую очередь занимается сбором разведывательных данных в Центральной Азии. В этой статье узнаем больше о взломе и его последствиях.
Ответ специалистов по безопасности

«Целью Томириса постоянно оказывается регулярная кража внутренних документов», — заявили исследователи безопасности Пьер Дельшер и Иван Квятковски в опубликованном сегодня анализе. «Угроза нацелена на правительственные и дипломатические учреждения в СНГ».
Что известно о Tomiris

Впервые Tomiris стала известна в сентябре 2021 года, когда «Лаборатория Касперского» указала на ее потенциальную связь с Nobelium (также известной как APT29, Cozy Bear или Midnight Blizzard), пророссийской хакерской группировкой, стоящей за атакой на цепочку поставок SolarWinds.
Также были обнаружены сходства между бэкдором и другим штаммом вредоносного ПО под названием Kazuar, который приписывается группе Turla (также известной как Krypton, Secret Blizzard, Venomous Bear или Uroburos).


Как происходит атака

В атаках целевого фишинга, организованных группой, использовался «набор инструментов полиглота», состоящий из множества несложных «сжигающих» имплантатов, которые закодированы на разных языках программирования и неоднократно развертывались против одних и тех же целей.


Помимо использования открытых или коммерчески доступных наступательных инструментов, таких как RATel и Warzone RAT (также известная как Ave Maria), собственный арсенал вредоносных программ, используемый группой: загрузчики, бэкдоры и похитители информации.

• Telemiris — бэкдор Python, использующий Telegram в качестве канала управления и контроля (C2).
  
• Roopy — похититель файлов на основе Pascal, предназначенный для поиска интересующих файлов каждые 40–80 минут и их эксфильтрации на удаленный сервер.
  
• JLORAT — похититель файлов, написанный на Rust, который собирает системную информацию, выполняет команды, выдаваемые сервером C2, загружает и скачивает файлы и делает снимки экрана.

Что еще удалось узнать

Расследование атак, проведенное «Лабораторией Касперского», также выявило совпадения с кластером Turla, отслеживаемым компанией Mandiant, принадлежащей Google, под именем UNC4210, и обнаружило, что имплантат QUIETCANARY (также известный как TunnusSched) был развернут против правительственной цели в СНГ с помощью Telemiris.
«Точнее, 13 сентября 2022 года, около 05:40 UTC, оператор попытался развернуть через Telemiris несколько известных имплантов Tomiris: сначала загрузчик Python Meterpreter, затем JLORAT и Roopy», — пояснили исследователи.
«Эти планы были сорваны продуктами безопасности, которые заставили злоумышленника предпринять повторные попытки из разных мест файловой системы. Все эти попытки закончились неудачей. После часовой паузы оператор снова попытался в 07:19 UTC с использованием образца TunnusSched/QUIETCANARY. Образец TunnusSched также был заблокирован».

Связь Tomiris и TurlaТем не менее, несмотря на потенциальные связи между двумя группами, говорят, что Tomiris действуют отдельно от Turla из-за различий в их целях и способах торговли.
С другой стороны, также весьма вероятно, что Turla и Tomiris сотрудничают в отдельных операциях или что обе группировки работают с одним поставщиком программного обеспечения, о чем свидетельствует использование российскими военными разведывательными службами инструментов, предоставленных московским ИТ-подрядчиком NTC. Вулкан.