Nos experts ont découvert une nouvelle porte dérobée que les cybercriminels utilisent d’ores et déjà pour des attaques ciblées. La porte dérobée, connue comme Tomiris, ressemble à Sunshuttle (alias GoldMax) pour de nombreuses raisons, un malware que DarkHalo (alias Nobelium) a utilisé dans une attaque de la chaîne d’approvisionnement contre les clients de SolarWinds.
Les capacités de Tomiris
La principale tâche de la porte dérobée Tomiris est de distribuer un malware supplémentaire sur l’appareil de la victime. Il est en communication continue avec le serveur de commande et contrôle (C&C) des cybercriminels et télécharge des fichiers exécutables qu’il exécute ensuite selon les arguments indiqués.
Nos experts ont aussi trouvé une variante qui vole les fichiers. Le malware sélectionne les fichiers récemment créés ayant certaines extensions (.doc, .docx, .pdf, .rar et bien d’autres) puis les télécharge sur le serveur de commande et contrôle.
Les créateurs de la porte dérobée ont inclus plusieurs fonctionnalités pour déjouer les technologies de sécurité et tromper les chercheurs. Par exemple, lors de la livraison, le malware est inactif pendant 9 minutes. Un laps de temps qui devrait duper n’importe quel mécanisme de détection basé sur la sandbox. De plus, l’adresse du serveur de commande et contrôle n’est pas chiffrée directement dans Tomiris. L’URL et les informations relatives au port viennent d’un serveur de signalisation.
Comment Tomiris atteint les ordinateurs
Pour distribuer la porte dérobée, les cybercriminels utilisent l’empoisonnement du cache DNS (DNS hijacking) pour rediriger le trafic des serveurs de messagerie de l’entreprise prise pour cible vers leurs sites malveillants (certainement en obtenant les identifiants du panneau de contrôle sur le site du registre des noms de domaine). Ainsi, ils peuvent tromper les clients et les rediriger vers une page qui ressemble à l’authentique page de connexion du service de messagerie. Évidemment, lorsqu’une personne saisit ses identifiants sur la fausse page, les malfaiteurs les reçoivent immédiatement.
Les sites demandent parfois aux utilisateurs d’installer une mise à jour de sécurité pour bien fonctionner. Dans ce cas, la mise à jour était en réalité un programme de téléchargement pour Tomiris.
Consultez l’article publié sur Securelist si vous souhaitez obtenir plus de détails techniques sur la porte dérobée Tomiris, et connaître les indicateurs de compromission et les connexions observées entre les outils Tomiris et DarkHalo.
Comment vous protéger
La méthode de distribution du malware décrite ci-dessus ne fonctionne pas si l’ordinateur ayant accès à l’interface web de la messagerie est protégé par une solution de sécurité robuste. De plus, toute activité d’un opérateur d’APT dans le réseau professionnel peut être détectée grâce au savoir-faire des experts de Kaspersky Managed Detection and Response.