NewsSicurezza

Kaspersky ha rilevato un nuovo malware simile a quello utilizzato per l’attacco Sunburst

Il nuovo malware è stato chiamato Tomiris

I ricercatori di Kaspersky hanno rivelato di aver scovato una backdoor precedentemente non documentata probabilmente progettata e sviluppata da DarkHalo il threat actor che si nasconde dietro l’attacco Sunburst.

Kaspersky ha chiamato questo nuovo malware “Tomiris“, definendo le sue somiglianze con un altro malware utilizzato nella seconda fase dell’attacco, che ha preso di mira nel 2020 la piattaforma Orion del fornitore di software di gestione IT SolarWinds.

Mentre gli attacchi alla catena di approvvigionamento erano già un vettore di attacco documentato sfruttato da un certo numero di APT, questa specifica campagna si è distinta per l’estrema attenzione degli aggressori e la natura di alto profilo delle loro vittime“, hanno affermato i ricercatori di Kaspersky . “Le prove raccolte finora indicano che DarkHalo ha trascorso sei mesi all’interno delle reti di Orion IT per perfezionare il loro attacco e assicurarsi che la manomissione della catena di costruzione non provocasse alcun effetto negativo”.

DarkHalo ci riprova con una nuova backdoor dopo l’attacco Sunburst

i ricercatori Kaspersky hanno trovato segni di un attacco DNS hijacking riuscito. Le vittime dell’attacco che cercavano di accedere all’interfaccia web di un servizio di posta elettronica aziendale venivano reindirizzate ad una copia falsa dell’interfaccia web e indotte a scaricare un aggiornamento software dannoso. Seguendo il percorso creato dagli attaccanti, i ricercatori di Kaspersky sono riusciti a recuperare il finto aggiornamento e hanno scoperto che utilizzava una backdoor fino ad allora sconosciuta.

Come spiegano i ricercatori di Kaspersky in post su SecureList, Tomiris è una backdoor scritta in Go il cui ruolo è quello di interrogare continuamente il suo server C2 per gli eseguibili da scaricare ed attivare sul sistema vittima. Prima di eseguire qualsiasi operazione, dorme per almeno nove minuti nel possibile tentativo di sconfiggere i sistemi di analisi basati su sandbox. Stabilisce la persistenza con le attività pianificate creando ed eseguendo un file batch.

Questa non è la prima volta che vengono scoperte sovrapposizioni tra i diversi strumenti utilizzati dai vari gruppi hacker. All’inizio di quest’anno, l’analisi di Kaspersky su Sunburst ha rivelato una serie di funzionalità condivise tra il malware e Kazuar, una backdoor basata su .NET attribuita al gruppo Turla.

Offerta
Kaspersky Total Security 2021 | 4 Dispositivi | 1 Anno | PC / Mac / Android  | Codice d'attivazione via email
  • Difende da virus, cryptolocker e altri ransomware
  • Protegge la privacy, le password, i file e le foto
  • Protegge i risparmi quando acquisti o navighi nella tua banca online
  • Protegge più dispositivi
  • Protegge i tuoi bambini…online e non solo grazie al Kaspersky Safe Kids

Danilo Loda

100% "milanes", da una vita scrivo di bit e byte e di quanto inizia con on e finisce con off. MI piace tutto quello che fa rumore, meglio se con un motore a scoppio. Amo viaggiare (senza google Maps) lo sport, soprattutto se è colorato di neroazzuro.

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button