Правда ли, что группировка имеет тесные связи с другими хакерскими объединениями?
Согласно последнему отчёту Лаборатории Касперского, предположительно русскоязычная хакерская группировка Tomiris, стоящая за одноимённым бэкдором, в настоящий момент сосредоточена на сборе разведданных в Центральной Азии.
«Конечной целью Tomiris неизменно оказывается регулярная кража внутренних документов. Злоумышленники нацелены на правительственные и дипломатические структуры в странах СНГ», — заявили исследователи в области безопасности Пьер Делчер и Иван Квятковски.
О Tomiris впервые стало известно в сентябре 2021 года, когда исследователи Лаборатории Касперского выявили потенциальные связи группировки с Nobelium (они же APT29, Cozy Bear или Midnight Blizzard), предположительно российской государственной группой, стоящей за атаками на цепочку поставок SolarWinds.
В ходе фишинговых атак, организованных группой Tomiris, использовался набор инструментов Polyglot, включающий применения множества несложных «одноразовых» имплантатов, закодированных на разных языках программирования. Все они неоднократно использовались против одних и тех же целей.
https://www.securitylab.ru/upload/me...osadpabwza.png
Взаимосвязи между инструментами Tomiris в разных вредоносных кампаниях
Помимо использования свободно распространяемых или коммерческих инструментов, таких как RATel и Warzone RAT (он же Ave Maria), пользовательский арсенал вредоносных программ, используемый Tomiris, включает загрузчики, бэкдоры и похитители информации:
<ul><li>Telemiris — бэкдор на Python, который использует Telegram в качестве C2-канала.</li>
</ul><ul><li>Roopy — программа для кражи файлов на основе Pascal, предназначенная для того, чтобы каждые 40-80 минут просматривать интересующие файлы и отправлять их на удалённый сервер.</li>
</ul><ul><li>JLORAT — программа для кражи файлов, написанная на Rust, которая собирает системную информацию, выполняет команды, выдаваемые C2-сервером, загружает файлы и делает скриншоты.</li>
</ul>Проведенное специалистами расследование дополнительно выявило совпадения с кластером Turla, отслеживаемым компанией Mandiant под идентификатором UNC4210. Тем не менее, несмотря на потенциальные связи между двумя группами, говорят, что Tomiris отделена от Turla из-за различий в целях и методах. С другой стороны, также весьма вероятно, что Turla и Tomiris сотрудничают в отдельных операциях или что оба участника полагаются на общего поставщика программного обеспечения.
«В целом, Tomiris — очень подвижный и решительный игрок, открытый для экспериментов», — пояснили исследователи Лаборатории Касперского, добавив, что определённо существует некая форма преднамеренного сотрудничества между Tomiris и Turla.