- 13,858
- 20
- 8 Ноя 2022
Правда ли, что группировка имеет тесные связи с другими хакерскими объединениями?
Согласно Для просмотра ссылки Войдиили Зарегистрируйся Лаборатории Касперского, предположительно русскоязычная хакерская группировка Tomiris, стоящая за одноимённым бэкдором, в настоящий момент сосредоточена на сборе разведданных в Центральной Азии.
«Конечной целью Tomiris неизменно оказывается регулярная кража внутренних документов. Злоумышленники нацелены на правительственные и дипломатические структуры в странах СНГ», — заявили исследователи в области безопасности Пьер Делчер и Иван Квятковски.
О Tomiris впервые стало известно в сентябре 2021 года, когда исследователи Лаборатории Касперского выявили потенциальные связи группировки с Nobelium (они же APT29, Cozy Bear или Midnight Blizzard), предположительно российской государственной группой, стоящей за атаками на цепочку поставок SolarWinds.
В ходе фишинговых атак, организованных группой Tomiris, использовался набор инструментов Polyglot, включающий применения множества несложных «одноразовых» имплантатов, закодированных на разных языках программирования. Все они неоднократно использовались против одних и тех же целей.
Взаимосвязи между инструментами Tomiris в разных вредоносных кампаниях
Помимо использования свободно распространяемых или коммерческих инструментов, таких как RATel и Warzone RAT (он же Ave Maria), пользовательский арсенал вредоносных программ, используемый Tomiris, включает загрузчики, бэкдоры и похитители информации:
«В целом, Tomiris — очень подвижный и решительный игрок, открытый для экспериментов», — пояснили исследователи Лаборатории Касперского, добавив, что определённо существует некая форма преднамеренного сотрудничества между Tomiris и Turla.
Согласно Для просмотра ссылки Войди
«Конечной целью Tomiris неизменно оказывается регулярная кража внутренних документов. Злоумышленники нацелены на правительственные и дипломатические структуры в странах СНГ», — заявили исследователи в области безопасности Пьер Делчер и Иван Квятковски.
О Tomiris впервые стало известно в сентябре 2021 года, когда исследователи Лаборатории Касперского выявили потенциальные связи группировки с Nobelium (они же APT29, Cozy Bear или Midnight Blizzard), предположительно российской государственной группой, стоящей за атаками на цепочку поставок SolarWinds.
В ходе фишинговых атак, организованных группой Tomiris, использовался набор инструментов Polyglot, включающий применения множества несложных «одноразовых» имплантатов, закодированных на разных языках программирования. Все они неоднократно использовались против одних и тех же целей.
Взаимосвязи между инструментами Tomiris в разных вредоносных кампаниях
Помимо использования свободно распространяемых или коммерческих инструментов, таких как RATel и Warzone RAT (он же Ave Maria), пользовательский арсенал вредоносных программ, используемый Tomiris, включает загрузчики, бэкдоры и похитители информации:
- Telemiris — бэкдор на Python, который использует Telegram в качестве C2-канала.
- Roopy — программа для кражи файлов на основе Pascal, предназначенная для того, чтобы каждые 40-80 минут просматривать интересующие файлы и отправлять их на удалённый сервер.
- JLORAT — программа для кражи файлов, написанная на Rust, которая собирает системную информацию, выполняет команды, выдаваемые C2-сервером, загружает файлы и делает скриншоты.
«В целом, Tomiris — очень подвижный и решительный игрок, открытый для экспериментов», — пояснили исследователи Лаборатории Касперского, добавив, что определённо существует некая форма преднамеренного сотрудничества между Tomiris и Turla.
- Источник новости
- www.securitylab.ru
