新型Tomiris后门程序开发者与SolarWinds攻击的黑客有关联

网络安全研究人员披露了一个此前从未记录的后门程序，该后门程序很可能是由APT组织 Nobelium 在去年的 SolarWinds 供应链攻击背后设计和开发的，卡巴斯基将该恶意软件代号为 Tomiris ，称其与活动期间使用的另一个第二阶段恶意软件 SUNSHUTTLE（又名 GoldMax）相似，该恶意软件针对 IT 管理软件提供商的 Orion 平台。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，该APT组织 Nobelium 也被称为 UNC2452、SolarStorm、StellarParticle、Dark Halo 和 Iron Ritual。

微软在 2021 年 3 月详细介绍了SUNSHUTTLE，将该病毒株描述为一种基于 Golang 编程语言开发的恶意软件，它充当命令和控制后门，与攻击者控制的服务器建立安全连接，以在受感染机器上获取和执行任意命令，如以及将文件从系统泄露到服务器。

卡巴斯基于今年 6 月从 2 月份的样本中发现的新 Tomiris 后门也是用 Go 编写的，并通过成功的 DNS 劫持攻击进行部署，在此期间，试图访问企业电子邮件服务登录页面的目标被重定向到欺诈域设置了一个类似的界面，旨在诱使访问者以安全更新为幌子下载恶意软件。

安全研究人员称，后门的主要目的是在受攻击的系统中建立立足点并下载其他恶意组件，此外还发现了许多相似之处，从加密方案到相同的拼写错误，都暗示着这些恶意程序可能是共同作者或共享部分代码。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，这不是第一次发现APT组织使用的不同工具之间存在重叠。今年早些时候，卡巴斯基对 Sunburst的分析揭示了该恶意软件与 Kazuar 之间的许多共享功能，Kazuar 是 Turla 集团基于 .NET 的后门程序。