卡巴斯基的威脅狩獵團(tuán)隊(duì)截獲了一種新的網(wǎng)絡(luò)間諜植入物，這種植入物是通過(guò)有針對(duì)性的DNS劫持東歐政府的DNS。研究團(tuán)隊(duì)當(dāng)場(chǎng)時(shí)間9月29日發(fā)布了一份新的報(bào)告，其中提供了將該惡意軟件與SolarWinds攻擊者聯(lián)系起來(lái)的線(xiàn)索。

　　這家俄羅斯安全供應(yīng)商表示，新發(fā)現(xiàn)的名為T(mén)omiris的惡意軟件含有最新的技術(shù)特征，表明可能與執(zhí)行SolarWinds供應(yīng)鏈攻擊的組織有共同的作者或共同的開(kāi)發(fā)實(shí)踐。

　　卡巴斯基的研究報(bào)告中記錄了這一發(fā)現(xiàn)，該報(bào)告提供了一種先進(jìn)的DNS劫持技術(shù)的證據(jù)，該技術(shù)被用來(lái)精確地替換網(wǎng)絡(luò)郵件登錄頁(yè)面，劫持政府用戶(hù)名和口令。

　　DNS劫持是在一個(gè)身份不明的獨(dú)聯(lián)體成員國(guó)的幾個(gè)政府網(wǎng)絡(luò)上觀(guān)察到的——猜測(cè)是吉爾吉斯斯坦或哈薩克斯坦——并允許威脅行為者在特定時(shí)間內(nèi)將來(lái)自政府郵件服務(wù)器的流量重定向到攻擊者控制的機(jī)器上。

　　根據(jù)卡巴斯基的報(bào)告：在這些時(shí)間段內(nèi)，上述區(qū)域的權(quán)威DNS服務(wù)器被切換到攻擊者控制的解析器。這些劫持大部分時(shí)間相對(duì)較短，而且似乎主要針對(duì)受影響組織的郵件服務(wù)器。不知道威脅行動(dòng)者是如何做到這一點(diǎn)的，但研究人員假設(shè)他們以某種方式獲得了受害者使用的注冊(cè)商控制面板的證書(shū)。

　　當(dāng)惡意重定向處于活躍狀態(tài)時(shí)，訪(fǎng)問(wèn)者被引導(dǎo)到模仿原始郵件登錄頁(yè)面。因?yàn)楣粽呖刂频母鞣N域名劫持，他們能夠獲得合法的SSL證書(shū)加密所有這些假頁(yè)面，使安全意識(shí)較弱的訪(fǎng)問(wèn)者很難注意到攻擊——畢竟，他們通常連接到URL并被引導(dǎo)到一個(gè)安全的頁(yè)面。

　　研究人員認(rèn)為，進(jìn)入網(wǎng)頁(yè)的證書(shū)被攻擊者獲取，并在更大攻擊入侵的后續(xù)階段重復(fù)使用。

　　“在某些情況下，他們還在頁(yè)面上添加了一條信息，誘使用戶(hù)安裝惡意的‘安全更新’，”研究人員警告稱(chēng)，該鏈接會(huì)導(dǎo)致一個(gè)帶有新的后門(mén)的可執(zhí)行文件。一旦安裝到機(jī)器上，Tomiris后門(mén)就會(huì)不斷地向命令和控制服務(wù)器查詢(xún)額外的可執(zhí)行文件，以便在受害的系統(tǒng)上執(zhí)行。

　　Tomiris是一個(gè)用Go編寫(xiě)的后門(mén)，其作用是不斷查詢(xún)其C2服務(wù)器以獲取可執(zhí)行文件，以便在受害系統(tǒng)上下載和執(zhí)行。在執(zhí)行任何操作之前，它會(huì)休眠至少9分鐘，以試圖擊敗基于沙箱的分析系統(tǒng)。它通過(guò)創(chuàng)建和運(yùn)行包含以下命令的批處理文件來(lái)建立計(jì)劃任務(wù)，以保持長(zhǎng)期的潛伏：

　　1

　　SCHTASKS /CREATE /SC DAILY /TN StartDVL /TR “[path to self]” /ST 10:00

　　C2服務(wù)器地址沒(méi)有直接嵌入Tomiris內(nèi)部：相反，它連接到信號(hào)服務(wù)器，該服務(wù)器提供后門(mén)應(yīng)連接到的URL和端口。然后Tomiris向該URL發(fā)送GET請(qǐng)求，直到C2服務(wù)器使用以下結(jié)構(gòu)的JSON對(duì)象響應(yīng)：

　　1

　　{“filename”: “[filename]”, “args”: “[arguments]”, “file”: “[base64-encoded executable]”}

　　這個(gè)對(duì)象描述了一個(gè)可執(zhí)行文件，它被放置在受害機(jī)器上并使用提供的參數(shù)運(yùn)行。此功能以及Tomiris除了下載更多工具之外沒(méi)有其他功能的事實(shí)表明此工具集還有其他部分，但不幸的是，我們迄今為止無(wú)法恢復(fù)它們。

　　研究人員還發(fā)現(xiàn)了一個(gè)Tomiris變體（內(nèi)部命名為“SBZ”，MD5 51AA89452A9E57F646AB64BE6217788E），它充當(dāng)文件竊取者，并將任何與硬編碼擴(kuò)展名集（。doc、。docx、。pdf、。rar 等）匹配的最新文件上傳到C2。

　　最后，在這次調(diào)查中發(fā)現(xiàn)的一些小線(xiàn)索表明，Tomiris的作者可能會(huì)說(shuō)俄語(yǔ)，但信心不足。

　　卡巴斯基此前曾將SolarWinds的攻擊代碼與一個(gè)已知的俄羅斯威脅行為者聯(lián)系起來(lái)，現(xiàn)在他正在呼吁外部威脅情報(bào)研究人員幫助重現(xiàn)結(jié)果。

　　Tomiris的曝光——以及與SolarWinds的潛在聯(lián)系——發(fā)生在微軟發(fā)布了一份針對(duì)FoggyWeb的公開(kāi)建議幾天之后，F(xiàn)oggyWeb是SolarWinds攻擊者使用的一款新惡意軟件。

　　在分析Tomiris時(shí)，研究人員注意到與上面討論的Sunshuttle惡意軟件有許多相似之處：

　　這兩個(gè)惡意軟件系列都是用Go開(kāi)發(fā)的，帶有可選的UPX加殼打包。

　　配置文件中使用相同的分隔符（“|”）來(lái)分隔元素。

　　在這兩個(gè)家族中，使用相同的加密/混淆方案對(duì)配置文件進(jìn)行編碼并與C2服務(wù)器通信。

　　根據(jù)微軟的報(bào)告，Sunshuttle也依賴(lài)于計(jì)劃任務(wù)維持長(zhǎng)期潛伏。

　　兩個(gè)家族都比較依賴(lài)隨機(jī)性：

　　Sunshuttle將源網(wǎng)址和誘餌網(wǎng)址隨機(jī)化，用于生成良性流量。它還在每個(gè)請(qǐng)求之間休眠5-10秒（默認(rèn)情況下）。

　　Tomiris在執(zhí)行過(guò)程中的不同時(shí)間將隨機(jī)延遲（0-2秒或0-30秒，具體取決于上下文）添加到它休眠的基本時(shí)間。它還包含用于放置下載的可執(zhí)行文件的目標(biāo)文件夾列表，程序從中隨機(jī)選擇。

　　在每次調(diào)用之前，Tomiris和Sunshuttle都使用Now（）的輸出免費(fèi)為RNG重新設(shè)定種子。

　　這兩個(gè)惡意軟件系列在執(zhí)行期間都會(huì)定期休眠，以避免產(chǎn)生過(guò)多的網(wǎng)絡(luò)活動(dòng)。

　　這兩個(gè)程序的一般工作流程，特別是將功能分配到函數(shù)中的方式，感覺(jué)非常相似，以至于這位分析師認(rèn)為，可以表明兩個(gè)惡意軟件的作者共享的了開(kāi)發(fā)實(shí)踐。一個(gè)例子是當(dāng)準(zhǔn)備步驟完成時(shí)，程序的主循環(huán)如何轉(zhuǎn)移到一個(gè)新的goroutine，而主線(xiàn)程幾乎永遠(yuǎn)處于非活動(dòng)狀態(tài)。

　　在Tomiris（“isRunned”）和Sunshuttle（“EXECED”而不是“executed”）字符串中都發(fā)現(xiàn)了英語(yǔ)錯(cuò)誤。

　　這些項(xiàng)目，單獨(dú)來(lái)看，都不足以將To和Sunshuttle聯(lián)系起來(lái)有足夠的信心。研究人員坦率地承認(rèn)其中一些數(shù)據(jù)點(diǎn)可能是偶然的，但仍然認(rèn)為將它們放在一起至少表明了共同作者或共享開(kāi)發(fā)實(shí)踐的可能性。

　　研究人員想提供的最后一個(gè)間接證據(jù)是發(fā)現(xiàn)網(wǎng)絡(luò)中感染了Tomiris的其他機(jī)器也感染了Kazuar后門(mén)。不幸的是，可用數(shù)據(jù)無(wú)法讓他們確定惡意程序中的一個(gè)是否會(huì)導(dǎo)致另一個(gè)程序的部署，或者它們是否源自?xún)蓚€(gè)獨(dú)立的事件。

　　目前看來(lái)，許多線(xiàn)索暗示了Sunburst、Kazuar和Tomiris之間的聯(lián)系，但感覺(jué)仍然缺少一項(xiàng)證據(jù)，可以讓研究者將它們?nèi)繗w因于一個(gè)威脅行為者。研究人員試圖通過(guò)解決虛假標(biāo)志攻擊的可能性來(lái)結(jié)束這一部分：可以說(shuō)，由于Sunshuttle的高調(diào)性質(zhì)，其他威脅行為者可能故意試圖復(fù)制其設(shè)計(jì)以誤導(dǎo)分析師。最早的Tomiris樣本出現(xiàn)在 2021年2月，也就是Sunshuttle向世界展示的一個(gè)月前。雖然此時(shí)其他APT可能已經(jīng)意識(shí)到該工具的存在，但卡巴的研究人員認(rèn)為他們不太可能在它被披露之前嘗試模仿它。

　　卡巴斯基的報(bào)告最后認(rèn)為，如果他們對(duì)Tomiris和Sunshuttle相連的猜測(cè)是正確的，它將為威脅行為者在被抓獲后重建能力的方式提供新的線(xiàn)索。希望鼓勵(lì)威脅情報(bào)社區(qū)重現(xiàn)這項(xiàng)研究，并就其發(fā)現(xiàn)的 Sunshuttle和Tomiris之間的相似之處提供見(jiàn)解。

　　另?yè)?jù)微軟的研究，他們發(fā)現(xiàn)了新的后門(mén)FoggyWeb，將其描述為一個(gè)后利用的被動(dòng)后門(mén)，黑客們一直在利用它從被攻擊的Active Directory Federation Services （AD FS）服務(wù)器中遠(yuǎn)程竊取敏感信息。后門(mén)一直存在，而且目標(biāo)明確。微軟稱(chēng)該后門(mén)自2021年4月左右開(kāi)始使用，使與俄羅斯有關(guān)聯(lián)的APT組織Nobelium（又名APT29）從被入侵的服務(wù)器竊取信息，并接收和執(zhí)行額外的惡意代碼。

　　這一活動(dòng)被微軟與APT29關(guān)聯(lián)了起來(lái)。Tomiris和Foggyweb是不是都會(huì)與Solarwinds供應(yīng)鏈攻擊有關(guān)聯(lián)還需要進(jìn)一步的實(shí)證。有意思的是，Tomiris攻擊活動(dòng)的顯著特征是DNS劫持，而Foggyweb正是惡意獲取各種證書(shū)的活動(dòng)。

　　據(jù)觀(guān)察，即使在SolarWinds事件曝光后，該威脅行為者仍在發(fā)動(dòng)攻擊。在Sunburst后門(mén)和Teardrop惡意軟件用于攻擊之后，他們開(kāi)發(fā)了用于分層持續(xù)的GoldMax、GoldFinder和Sibot惡意軟件，以及用于早期感染的EnvyScout、BoomBox、NativeZone和VaporRage。今年6月，微軟警告稱(chēng)，黑客仍在繼續(xù)針對(duì)IT公司開(kāi)展行動(dòng)，目標(biāo)遍及36個(gè)國(guó)家。