卡巴斯基的威脅狩獵團隊截獲了一種新的網(wǎng)絡間諜植入物，這種植入物是通過有針對性的DNS劫持東歐政府的DNS。研究團隊當場時間9月29日發(fā)布了一份新的報告，其中提供了將該惡意軟件與SolarWinds攻擊者聯(lián)系起來的線索。

　　這家俄羅斯安全供應商表示，新發(fā)現(xiàn)的名為Tomiris的惡意軟件含有最新的技術特征，表明可能與執(zhí)行SolarWinds供應鏈攻擊的組織有共同的作者或共同的開發(fā)實踐。

　　卡巴斯基的研究報告中記錄了這一發(fā)現(xiàn)，該報告提供了一種先進的DNS劫持技術的證據(jù)，該技術被用來精確地替換網(wǎng)絡郵件登錄頁面，劫持政府用戶名和口令。

　　DNS劫持是在一個身份不明的獨聯(lián)體成員國的幾個政府網(wǎng)絡上觀察到的——猜測是吉爾吉斯斯坦或哈薩克斯坦——并允許威脅行為者在特定時間內將來自政府郵件服務器的流量重定向到攻擊者控制的機器上。

　　根據(jù)卡巴斯基的報告：在這些時間段內，上述區(qū)域的權威DNS服務器被切換到攻擊者控制的解析器。這些劫持大部分時間相對較短，而且似乎主要針對受影響組織的郵件服務器。不知道威脅行動者是如何做到這一點的，但研究人員假設他們以某種方式獲得了受害者使用的注冊商控制面板的證書。

　　當惡意重定向處于活躍狀態(tài)時，訪問者被引導到模仿原始郵件登錄頁面。因為攻擊者控制的各種域名劫持，他們能夠獲得合法的SSL證書加密所有這些假頁面，使安全意識較弱的訪問者很難注意到攻擊——畢竟，他們通常連接到URL并被引導到一個安全的頁面。

　　研究人員認為，進入網(wǎng)頁的證書被攻擊者獲取，并在更大攻擊入侵的后續(xù)階段重復使用。

　　“在某些情況下，他們還在頁面上添加了一條信息，誘使用戶安裝惡意的‘安全更新’，”研究人員警告稱，該鏈接會導致一個帶有新的后門的可執(zhí)行文件。一旦安裝到機器上，Tomiris后門就會不斷地向命令和控制服務器查詢額外的可執(zhí)行文件，以便在受害的系統(tǒng)上執(zhí)行。

　　Tomiris是一個用Go編寫的后門，其作用是不斷查詢其C2服務器以獲取可執(zhí)行文件，以便在受害系統(tǒng)上下載和執(zhí)行。在執(zhí)行任何操作之前，它會休眠至少9分鐘，以試圖擊敗基于沙箱的分析系統(tǒng)。它通過創(chuàng)建和運行包含以下命令的批處理文件來建立計劃任務，以保持長期的潛伏：

　　1

　　SCHTASKS /CREATE /SC DAILY /TN StartDVL /TR “[path to self]” /ST 10:00

　　C2服務器地址沒有直接嵌入Tomiris內部：相反，它連接到信號服務器，該服務器提供后門應連接到的URL和端口。然后Tomiris向該URL發(fā)送GET請求，直到C2服務器使用以下結構的JSON對象響應：

　　1

　　{“filename”: “[filename]”, “args”: “[arguments]”, “file”: “[base64-encoded executable]”}

　　這個對象描述了一個可執(zhí)行文件，它被放置在受害機器上并使用提供的參數(shù)運行。此功能以及Tomiris除了下載更多工具之外沒有其他功能的事實表明此工具集還有其他部分，但不幸的是，我們迄今為止無法恢復它們。

　　研究人員還發(fā)現(xiàn)了一個Tomiris變體（內部命名為“SBZ”，MD5 51AA89452A9E57F646AB64BE6217788E），它充當文件竊取者，并將任何與硬編碼擴展名集（。doc、。docx、。pdf、。rar 等）匹配的最新文件上傳到C2。

　　最后，在這次調查中發(fā)現(xiàn)的一些小線索表明，Tomiris的作者可能會說俄語，但信心不足。

　　卡巴斯基此前曾將SolarWinds的攻擊代碼與一個已知的俄羅斯威脅行為者聯(lián)系起來，現(xiàn)在他正在呼吁外部威脅情報研究人員幫助重現(xiàn)結果。

　　Tomiris的曝光——以及與SolarWinds的潛在聯(lián)系——發(fā)生在微軟發(fā)布了一份針對FoggyWeb的公開建議幾天之后，F(xiàn)oggyWeb是SolarWinds攻擊者使用的一款新惡意軟件。

　　在分析Tomiris時，研究人員注意到與上面討論的Sunshuttle惡意軟件有許多相似之處：

　　這兩個惡意軟件系列都是用Go開發(fā)的，帶有可選的UPX加殼打包。

　　配置文件中使用相同的分隔符（“|”）來分隔元素。

　　在這兩個家族中，使用相同的加密/混淆方案對配置文件進行編碼并與C2服務器通信。

　　根據(jù)微軟的報告，Sunshuttle也依賴于計劃任務維持長期潛伏。

　　兩個家族都比較依賴隨機性：

　　Sunshuttle將源網(wǎng)址和誘餌網(wǎng)址隨機化，用于生成良性流量。它還在每個請求之間休眠5-10秒（默認情況下）。

　　Tomiris在執(zhí)行過程中的不同時間將隨機延遲（0-2秒或0-30秒，具體取決于上下文）添加到它休眠的基本時間。它還包含用于放置下載的可執(zhí)行文件的目標文件夾列表，程序從中隨機選擇。

　　在每次調用之前，Tomiris和Sunshuttle都使用Now（）的輸出免費為RNG重新設定種子。

　　這兩個惡意軟件系列在執(zhí)行期間都會定期休眠，以避免產生過多的網(wǎng)絡活動。

　　這兩個程序的一般工作流程，特別是將功能分配到函數(shù)中的方式，感覺非常相似，以至于這位分析師認為，可以表明兩個惡意軟件的作者共享的了開發(fā)實踐。一個例子是當準備步驟完成時，程序的主循環(huán)如何轉移到一個新的goroutine，而主線程幾乎永遠處于非活動狀態(tài)。

　　在Tomiris（“isRunned”）和Sunshuttle（“EXECED”而不是“executed”）字符串中都發(fā)現(xiàn)了英語錯誤。

　　這些項目，單獨來看，都不足以將To和Sunshuttle聯(lián)系起來有足夠的信心。研究人員坦率地承認其中一些數(shù)據(jù)點可能是偶然的，但仍然認為將它們放在一起至少表明了共同作者或共享開發(fā)實踐的可能性。

　　研究人員想提供的最后一個間接證據(jù)是發(fā)現(xiàn)網(wǎng)絡中感染了Tomiris的其他機器也感染了Kazuar后門。不幸的是，可用數(shù)據(jù)無法讓他們確定惡意程序中的一個是否會導致另一個程序的部署，或者它們是否源自兩個獨立的事件。

　　目前看來，許多線索暗示了Sunburst、Kazuar和Tomiris之間的聯(lián)系，但感覺仍然缺少一項證據(jù)，可以讓研究者將它們全部歸因于一個威脅行為者。研究人員試圖通過解決虛假標志攻擊的可能性來結束這一部分：可以說，由于Sunshuttle的高調性質，其他威脅行為者可能故意試圖復制其設計以誤導分析師。最早的Tomiris樣本出現(xiàn)在 2021年2月，也就是Sunshuttle向世界展示的一個月前。雖然此時其他APT可能已經(jīng)意識到該工具的存在，但卡巴的研究人員認為他們不太可能在它被披露之前嘗試模仿它。

　　卡巴斯基的報告最后認為，如果他們對Tomiris和Sunshuttle相連的猜測是正確的，它將為威脅行為者在被抓獲后重建能力的方式提供新的線索。希望鼓勵威脅情報社區(qū)重現(xiàn)這項研究，并就其發(fā)現(xiàn)的 Sunshuttle和Tomiris之間的相似之處提供見解。

　　另據(jù)微軟的研究，他們發(fā)現(xiàn)了新的后門FoggyWeb，將其描述為一個后利用的被動后門，黑客們一直在利用它從被攻擊的Active Directory Federation Services （AD FS）服務器中遠程竊取敏感信息。后門一直存在，而且目標明確。微軟稱該后門自2021年4月左右開始使用，使與俄羅斯有關聯(lián)的APT組織Nobelium（又名APT29）從被入侵的服務器竊取信息，并接收和執(zhí)行額外的惡意代碼。

　　這一活動被微軟與APT29關聯(lián)了起來。Tomiris和Foggyweb是不是都會與Solarwinds供應鏈攻擊有關聯(lián)還需要進一步的實證。有意思的是，Tomiris攻擊活動的顯著特征是DNS劫持，而Foggyweb正是惡意獲取各種證書的活動。

　　據(jù)觀察，即使在SolarWinds事件曝光后，該威脅行為者仍在發(fā)動攻擊。在Sunburst后門和Teardrop惡意軟件用于攻擊之后，他們開發(fā)了用于分層持續(xù)的GoldMax、GoldFinder和Sibot惡意軟件，以及用于早期感染的EnvyScout、BoomBox、NativeZone和VaporRage。今年6月，微軟警告稱，黑客仍在繼續(xù)針對IT公司開展行動，目標遍及36個國家。