I ricercatori di Kaspersky hanno rivelato di aver scovato una backdoor precedentemente non documentata probabilmente progettata e sviluppata da DarkHalo il threat actor che si nasconde dietro l’attacco Sunburst.
Kaspersky ha chiamato questo nuovo malware “Tomiris“, definendo le sue somiglianze con un altro malware utilizzato nella seconda fase dell’attacco, che ha preso di mira nel 2020 la piattaforma Orion del fornitore di software di gestione IT SolarWinds.
“Mentre gli attacchi alla catena di approvvigionamento erano già un vettore di attacco documentato sfruttato da un certo numero di APT, questa specifica campagna si è distinta per l’estrema attenzione degli aggressori e la natura di alto profilo delle loro vittime“, hanno affermato i ricercatori di Kaspersky . “Le prove raccolte finora indicano che DarkHalo ha trascorso sei mesi all’interno delle reti di Orion IT per perfezionare il loro attacco e assicurarsi che la manomissione della catena di costruzione non provocasse alcun effetto negativo”.
DarkHalo ci riprova con una nuova backdoor dopo l’attacco Sunburst
i ricercatori Kaspersky hanno trovato segni di un attacco DNS hijacking riuscito. Le vittime dell’attacco che cercavano di accedere all’interfaccia web di un servizio di posta elettronica aziendale venivano reindirizzate ad una copia falsa dell’interfaccia web e indotte a scaricare un aggiornamento software dannoso. Seguendo il percorso creato dagli attaccanti, i ricercatori di Kaspersky sono riusciti a recuperare il finto aggiornamento e hanno scoperto che utilizzava una backdoor fino ad allora sconosciuta.
Come spiegano i ricercatori di Kaspersky in post su SecureList, Tomiris è una backdoor scritta in Go il cui ruolo è quello di interrogare continuamente il suo server C2 per gli eseguibili da scaricare ed attivare sul sistema vittima. Prima di eseguire qualsiasi operazione, dorme per almeno nove minuti nel possibile tentativo di sconfiggere i sistemi di analisi basati su sandbox. Stabilisce la persistenza con le attività pianificate creando ed eseguendo un file batch.
Questa non è la prima volta che vengono scoperte sovrapposizioni tra i diversi strumenti utilizzati dai vari gruppi hacker. All’inizio di quest’anno, l’analisi di Kaspersky su Sunburst ha rivelato una serie di funzionalità condivise tra il malware e Kazuar, una backdoor basata su .NET attribuita al gruppo Turla.
- Difende da virus, cryptolocker e altri ransomware
- Protegge la privacy, le password, i file e le foto
- Protegge i risparmi quando acquisti o navighi nella tua banca online
- Protegge più dispositivi
- Protegge i tuoi bambini…online e non solo grazie al Kaspersky Safe Kids
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🔝LinkedIn pubblica il report Top Companies Italia 2024: al primo posto Intesa Sanpaolo
🍪Il futuro della privacy online: Google dice addio ai cookie di terze parti
🪪Parliamo di SASE: intervista a Aldo Di Mattia di Fortinet
💡AMD e i data center energeticamente sostenibili. Intervista ad Alexander Troshin
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
