La puerta trasera Tomiris

En la conferencia SAS 2021, nuestros expertos han hablado sobre la puerta trasera Tomiris, que parece estar vinculada al grupo DarkHalo.

Nuestros expertos han encontrado una nueva puerta trasera que los ciberdelincuentes ya están utilizando en ataques dirigidos. La puerta trasera, llamada Tomiris, es similar en varios aspectos a Sunshuttle (también conocido como GoldMax), malware que DarkHalo (también conocido como Nobelium) utilizó en un ataque a la cadena de suministro contra los clientes de SolarWinds.

Las habilidades de Tomiris

La tarea principal de la puerta trasera Tomiris es enviar malware adicional al equipo de la víctima. Está en constante comunicación con el servidor de C&C de los ciberdelincuentes y descarga archivos ejecutables, que ejecuta con los argumentos especificados, desde allí.

Nuestros expertos también encontraron una variante del robo de archivos. El malware seleccionaba archivos creados recientemente con ciertas extensiones (.doc, .docx, .pdf, .rar, etc) y luego los cargaba en el servidor de C&C.

Los creadores de la puerta trasera le proporcionaban varias funciones para engañar a las tecnologías de seguridad y a los investigadores. Por ejemplo, en el momento de la entrega, el malware permanece inactivo durante 9 minutos, un retraso que probablemente engañe a los mecanismos de detección basados en un sandbox (entorno aislado). Además, la dirección del servidor de C&C no está codificada directamente dentro de Tomiris; la URL y la información del puerto provienen de un servidor de señalización.

Cómo llega Tomiris a los ordenadores

Para entregar la puerta trasera, los ciberdelincuentes utilizan el secuestro de DNS para redirigir el tráfico de los servidores de correo de las organizaciones objetivo a sus propios sitios maliciosos (probablemente obteniendo credenciales para el panel de control en el sitio del registrador de dominios). De esta forma, pueden atraer a los clientes a una página muy similar a la de inicio de sesión del servicio de correo auténtico. Naturalmente, cuando alguien introduce sus credenciales en la página falsa, los delincuentes obtienen estas credenciales de inmediato.

Por supuesto, a veces los sitios solicitan a los usuarios que instalen una actualización de seguridad para poder funcionar. En este caso, la actualización se trataba en realidad de un downloader (descargador) de Tomiris.

Para más información técnica sobre la puerta trasera Tomiris, junto con los indicadores de compromiso y las conexiones observadas entre las herramientas de Tomiris y DarkHalo, consulta nuestra publicación en Securelist.

Cómo mantenerse a salvo

El método de entrega de malware que acabamos de describir no funcionará si el ordenador que accede a la interfaz de correo web está protegido con una solución de seguridad sólida. Además, cualquier actividad de los operadores de APT en la red corporativa se puede detectar con la ayuda de los expertos que impulsan Kaspersky Managed Detection and Response.

 

Consejos