logo

Nový backdoor Tomiris se podezřele podobá malwaru Sunshuttle

Malware Sunshuttle byl nasazen při zákeřném útoku Sunburst, který je považován za jeden z nejvážnějších bezpečnostních incidentů v dodavatelském řetězci za několik posledních let. Šířil se prostřednictvím aktualizací softwaru SolarWinds Orion - ty si stáhlo přes 18 tisíc uživatelů.

Útok Sunburst se dostal na titulní stránky novin v prosinci 2020. Aktér hrozeb DarkHalo infiltroval dodavatele široce používaného firemního softwaru a dlouhou dobu využíval jeho infrastrukturu k distribuci spywaru pod rouškou legitimních aktualizací softwaru.

Po mediálním humbuku a rozsáhlém pátrání bezpečnostní komunity se zdálo, že se aktér stáhl do ústraní. Po Sunburstu nedošlo k žádnému významnějšímu odhalení incidentů, které by mu byly připisovány a vypadalo to, že DarkHalo zmizel nadobro v hlubinách internetu.

Výsledky nedávného výzkumu provedeného globálním výzkumným a analytickým týmem společnosti Kaspersky však ukazují, že to tak být nemusí.

V červnu 2021, tedy více než šest měsíců poté, co DarkHalo odešel ze scény, našli výzkumníci společnosti Kaspersky stopy po úspěšném útoku typu DNS hijacking proti několika vládním organizacím ve stejné zemi.

DNS hijacking je typ škodlivého útoku, při kterém je název domény (používaný ke spojení URL adresy webové stránky s adresou IP serveru, na kterém je webová stránka umístěna) upraven tak, aby přesměroval síťový provoz na server ovládaný útočníkem.

V případě odhaleném společností Kaspersky se cíle útoku snažily získat přístup k webovému rozhraní firemní e-mailové služby, ale byly přesměrovány na falešnou kopii tohoto webového rozhraní a poté navedeny, aby si stáhly aktualizaci skrývající škodlivý software.

Podle odkazu zanechaného útočníkem si výzkumníci společnosti Kaspersky tuto aktualizaci stáhli a zjistili, že obsahuje dosud neznámý backdoor Tomiris.

Další analýza ukázala, že hlavním účelem backdooru bylo vytvořit opěrný bod v napadeném systému a stáhnout další škodlivé komponenty.

Ty se bohužel během vyšetřování nepodařilo identifikovat, nicméně bylo učiněno ještě jedno důležité zjištění - ukázalo se, že backdoor Tomiris se podezřele podobá malwaru Sunshuttle, nasazenému při zákeřném útoku Sunburst.

Podobnosti obou útoků:

"Žádná z těchto podobností sama o sobě nestačí k tomu, aby bylo možné s dostatečnou jistotou spojovat Tomiris se Sunshuttle. Otevřeně připouštíme, že řada společných rysů může být náhodná, ale přesto se domníváme, že dohromady přinejmenším naznačují možnost stejného autora nebo stejných vývojových postupů. Pokud je naše domněnka o propojení Tomiris a Sunshuttle správná, vrhlo by to nové světlo na způsob, jakým aktéři hrozeb obnovují svoje kapacity poté, co byli odhaleni. Rádi bychom proto vyzvali komunitu bezpečnostních služeb, aby tento výzkum reprodukovala a přišla s dalšími názory na podobnosti, které jsme mezi Sunshuttle a Tomirisem objevili," říká Pierre Delcher, bezpečnostní výzkumník společnosti Kaspersky.

Článek ze dne 4. října 2021 - pondělí

Další články od KASPERSKY LAB CZECH REPUBLIC

Masivní kybernetické útoky na ukrajinskou infrastrukturu

Mobilní hrozby v roce 2021

Bezpečná bezdrátová aktualizace řídících jednotek chytrých automobilů

Rekordní nárůst DDos útoků

Spam a phishing v roce 2021

Valentýn 2022 ve znamení nárůstu podvodných aktivit

Evropské firmy často podceňují investice do IT bezpečnosti

Kyberbezpečnostní hra [Dis]connected

Hrdiny sci-fi filmu Moonfall chrání bezpečnostní systémy Kaspersky

Log4Shell zranitelnost představuje novou éru kybernetických útoků

Blokování škodlivého obsahu a phishingových domén

Rizika kontroverzních příspěvků na sociálních sítích

Bezpečnostní hrozba BlueNoroff vykrádá účty finančních startupů

Ochrana digitální identity v prostředí metasvěta

Rekordní záchyt nových typů škodlivých souborů

Jak nastavit ochranu soukromí u různých internetových služeb a platforem

Škodlivý doplněk krade přihlašovací údaje uživatelů Microsoft Exchange Serveru

Nebezpečná zranitelnost v rozšířené knihově nástrojů pro Java aplikace

Nové strategie ransomware útočníků

Zásady kybernetické bezpečnosti pro bionická zařízení

Firmy často tají informace o úniku osobních údajů zaměstnanců

Lepší zabezpečení kyberbezpečnosti je pro zdravotnická zařízení velkou výzvou

Prognózy finančních hrozeb roku 2022

Slevové akce typu Black Friday lákají k podvodům při online platbách

Jak se lidé a firmy dokázali přizpůsobit podmínkám práce na home office

Nahlédněte do zákulisí etických hackerů a kybernetických profesionálů

Špatná legislativa brzdí vyšetřování kybernetické kriminality

Kyberzločinci intenzivně využívají streamované pořady a seriály jako návnadu

Aktualizace Kaspersky VPN Secure Connection

Počet pokročilých DDoS útoků roste

Pozor na scam a phishing ve falešných kampaních podvodníků

Kyberzločin zneužívá popularitu Hry na oliheň

Skupina Lazarus vyvíjí prostředky pro útok na dodavatelské řetězce

Simulační hra o kyberbezpečnosti pro diplomaty a úředníky

Bezpečná online práce zaměstnanců s využitím VPN

Bankovní trojan Trickbot se překotně vyvíjí

Nový zero-day exploit MysterySnail napadá servery s Microsoft Windows

Sdílení dat s dodavateli představuje riziko kybernetického útoku

Absolutní ochrana před ransomware

Nový backdoor Tomiris se podezřele podobá malwaru Sunshuttle

Spyware FinFisher se snaží obcházet bezpečnostních řešení

Trojan BloodyStealer ohrožuje on-line herní platformy

Cybersecurity platforma pomáhá v rozvoji nových produktů a služeb

Sociální sítě během epidemie často nahrazují skutečné vztahy

Kaspersky Smart Home Security pro ochranu IoT zařízení chytrých domácností

Kaspersky Security Day

Pravidelné aktualizace a silná hesla snižují rizika kybernetického napadení firem

SAS 2021 - Summit bezpečnostních analytiků

Microsoft Exchange Server čelí nárůstu kybernetických útoků

Bezpečnostní řešení Kaspersky spolehlivě chrání před bankovním trojanem QakBot