近日，卡巴斯基公司的研究結果顯示，名為 Tomiris 后門背后的俄羅斯網絡威脅攻擊者正致力于在中亞地區收集情報。安全研究人員 Pierre Delcher 和 Ivan Kwiatkowski 在一份分析報告中指出，Tomiris 最終目的始終是定期盜取某些國家的政府組織和外交實體的內部文件。

卡巴斯基表示早在 2021 年 9 月份，Tomiris 就已經首次曝光了，研究人員甚至認為其與 Nobelium（又名 APT29、Cozy Bear 或 Midnight Blizzard）之前存在潛在聯系，卡巴斯基強調最新評估的結果基于 2021 至 2023 年間 Tomiris 團隊發起的三次新的攻擊活動。

Tomiris 與被稱為 Kazuar 的惡意軟件之間也有相似之處（ Kazuar 惡意軟件歸屬于 Turla 集團（又名 Krypton、Secret Blizzard、Venomous Bear 或 Uroburos）。值得一提的是， Turla 在曾經發起的 ”魚叉式釣魚“ 攻擊中利用了一個 "多語言工具集"，其中包括各種低級別的 "刻錄機 "植入物，這些植入物用不同的編程語言進行編碼，并對相同的受害者目標反復部署。

除使用 RATel 和 Warzone RAT（又名 Ave Maria）等開源或商業化的進攻工具外，該組織使用的定制惡意軟件庫屬于以下三類之一：下載器、后門和信息竊取器：

• Telemiris ：一個 Python 后門，使用 Telegram 作為一個命令和控制（C2）渠道。
• Roopy ：一個基于 Pasca l的文件竊取器，旨在每 40-80 分鐘囤積一次感興趣的文件，并將它們外流到一個遠程服務器。
• JLORAT ：一個使用 Rust 編寫的文件竊取器，收集系統信息，運行 C2 服務器發出的命令，上傳和下載文件，并捕獲屏幕截圖。

卡巴斯基對上述攻擊的調查結果，進一步確定與谷歌旗下 Mandiant 追蹤的 Turla 團伙吻合，發現 QUIETCANARY（又名 TunnusSched ）植入物是通過 Telemiris 對獨聯體的政府目標部署。研究人員進一步解釋稱，2022 年 9 月 13 日，一名操作員試圖通過 Telemiris 部署幾種已知的 Tomiris 植入物：首先是Python Meterpeter 加載程序，然后是 JLORAT 和 Roopy。

好消息是，威脅攻擊者的所有”努力“都被安全產品挫敗了，之后攻擊者又從文件系統的不同位置反復進行嘗試，但失敗告終。一小時后，攻擊者使用了 TunnusSched/QUIETCANARY 樣本再次嘗試，也被安全軟件成功阻止了。

Tomiris 與 Turla 區分開來，又緊密聯系

研究人員表示 Tomiris 與 Turla 之間雖然有潛在的聯系，但因為它們的攻擊目標和”貿易手段“不同，又是區分開來的。Turla 和 Tomiris 之間也很有可能在某些行動上進行合作，甚至使兩者都依賴一個共同的軟件供應商。研究人員最后強調，Tomiris 和 Turla 組織之間存在某種潛在的合作形式。

文章來源：https://thehackernews.com/2023/04/russian-hackers-tomiris-targeting.html