Uma nova análise da Kaspersky revela que o grupo ameaçador de língua russa por trás do backdoor conhecido como Tomiris está principalmente focado na coleta de inteligência na Ásia Central.
"O objetivo final do Tomiris parece ser consistentemente o roubo regular de documentos internos", disseram os pesquisadores de segurança Pierre Delcher e Ivan Kwiatkowski em uma análise publicada hoje.
"O grupo ameaça entidades governamentais e diplomáticas na Comunidade dos Estados Independentes (CIS)".
A última avaliação da empresa de segurança cibernética russa é baseada em três novas campanhas de ataque realizadas pela equipe de hackers entre 2021 e 2023.
O Tomiris veio à tona pela primeira vez em setembro de 2021, quando a Kaspersky destacou suas potenciais conexões com o Nobelium (também conhecido como APT29, Cozy Bear ou Midnight Blizzard), o grupo estatal russo por trás do ataque à cadeia de fornecimento da SolarWinds.
Foram descobertas semelhanças entre o backdoor e outra cepa de malware chamada Kazuar, que é atribuída ao grupo Turla (também conhecido como Krypton, Secret Blizzard, Venomous Bear ou Uroburos).
Os ataques de spear-phishing montados pelo grupo usaram um "conjunto de ferramentas poliglotas" que compreendem uma variedade de implantes "queimadores" de baixa sofisticação codificados em diferentes linguagens de programação e implantados repetidamente contra os mesmos alvos.
Além de usar ferramentas ofensivas de código aberto ou comercialmente disponíveis como RATel e Warzone RAT (também conhecido como Ave Maria), o arsenal de malware personalizado usado pelo grupo se enquadra em uma das três categorias: downloaders, backdoors e roubadores de informações.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...