近日，卡巴斯基公司的研究結(jié)果顯示，名為 Tomiris 后門背后的俄羅斯網(wǎng)絡(luò)威脅攻擊者正致力于在中亞地區(qū)收集情報。安全研究人員 Pierre Delcher 和 Ivan Kwiatkowski 在一份分析報告中指出，Tomiris 最終目的始終是定期盜取某些國家的政府組織和外交實體的內(nèi)部文件。

卡巴斯基表示早在 2021 年 9 月份，Tomiris 就已經(jīng)首次曝光了，研究人員甚至認(rèn)為其與 Nobelium（又名 APT29、Cozy Bear 或 Midnight Blizzard）之前存在潛在聯(lián)系，卡巴斯基強調(diào)最新評估的結(jié)果基于 2021 至 2023 年間 Tomiris 團隊發(fā)起的三次新的攻擊活動。

Tomiris 與被稱為 Kazuar 的惡意軟件之間也有相似之處（ Kazuar 惡意軟件歸屬于 Turla 集團（又名 Krypton、Secret Blizzard、Venomous Bear 或 Uroburos）。值得一提的是， Turla 在曾經(jīng)發(fā)起的 ”魚叉式釣魚“ 攻擊中利用了一個 "多語言工具集"，其中包括各種低級別的 "刻錄機 "植入物，這些植入物用不同的編程語言進行編碼，并對相同的受害者目標(biāo)反復(fù)部署。

除使用 RATel 和 Warzone RAT（又名 Ave Maria）等開源或商業(yè)化的進攻工具外，該組織使用的定制惡意軟件庫屬于以下三類之一：下載器、后門和信息竊取器：

• Telemiris ：一個 Python 后門，使用 Telegram 作為一個命令和控制（C2）渠道。
• Roopy ：一個基于 Pasca l的文件竊取器，旨在每 40-80 分鐘囤積一次感興趣的文件，并將它們外流到一個遠程服務(wù)器。
• JLORAT ：一個使用 Rust 編寫的文件竊取器，收集系統(tǒng)信息，運行 C2 服務(wù)器發(fā)出的命令，上傳和下載文件，并捕獲屏幕截圖。

卡巴斯基對上述攻擊的調(diào)查結(jié)果，進一步確定與谷歌旗下 Mandiant 追蹤的 Turla 團伙吻合，發(fā)現(xiàn) QUIETCANARY（又名 TunnusSched ）植入物是通過 Telemiris 對獨聯(lián)體的政府目標(biāo)部署。研究人員進一步解釋稱，2022 年 9 月 13 日，一名操作員試圖通過 Telemiris 部署幾種已知的 Tomiris 植入物：首先是Python Meterpeter 加載程序，然后是 JLORAT 和 Roopy。

好消息是，威脅攻擊者的所有”努力“都被安全產(chǎn)品挫敗了，之后攻擊者又從文件系統(tǒng)的不同位置反復(fù)進行嘗試，但失敗告終。一小時后，攻擊者使用了 TunnusSched/QUIETCANARY 樣本再次嘗試，也被安全軟件成功阻止了。

Tomiris 與 Turla 區(qū)分開來，又緊密聯(lián)系

研究人員表示 Tomiris 與 Turla 之間雖然有潛在的聯(lián)系，但因為它們的攻擊目標(biāo)和”貿(mào)易手段“不同，又是區(qū)分開來的。Turla 和 Tomiris 之間也很有可能在某些行動上進行合作，甚至使兩者都依賴一個共同的軟件供應(yīng)商。研究人員最后強調(diào)，Tomiris 和 Turla 組織之間存在某種潛在的合作形式。

文章來源：https://thehackernews.com/2023/04/russian-hackers-tomiris-targeting.html