Tomiris Hacker Cluster versucht, Informationen aus Zentralasien zu sammeln

Laut dem neuesten Bericht von Kaspersky organisiert der Hacker-Cluster, der die Backdoor-Malware namens Tomiris entwickelt hat, neue Cyber-Razzien in Zentralasien, um Informationen zu sammeln.

Tomiris zielt darauf ab, interne Korrespondenz und implizite Dokumente zu stehlen, insbesondere gegen Regierungen und diplomatische Institutionen. Als der Cluster 2021 zum ersten Mal auftauchte, wurde angenommen, dass er mit dem von der russischen Regierung unterstützten Hacker-Cluster Nobelium (APT29) verbunden ist, der als Täter des SolarWinds-Angriffs bekannt ist.

Es gibt auch Ähnlichkeiten zwischen Tomiris Backdoor und einer anderen verschwenderischen Software namens Kazuar, die dem Tıpla-Cluster zugeschrieben wird. Die vom Cluster organisierten gezielten Phishing-Raids enthalten Schädlinge, die wiederholt verwendet werden und in verschiedenen Sprachen geschrieben sind.

Private verschwenderische Software, die von der Gruppe verwendet wird; Es ist in drei Kategorien als „Loader“, „Backdoor“ und „Stealer“ unterteilt:

  • Telemiris: Eine auf Python basierende Hintertür, die Telegram als Befehls- und Kontrollkanal (C2) verwendet.
  • Roopy: Ein Pascal-basierter Stealer, der entwickelt wurde, um wichtige und interessante Dokumente zu sammeln und alle 40-80 Minuten an einen Remote-Server zu senden.
  • JLORAT: Ein weiterer in Rust geschriebener Stealer, der Systeminformationen sammelt, vom C2-Server ausgegebene Befehle ausführt, Dokumente herunter- und hochlädt und Screenshots aufnimmt.

Trotz der möglichen Verbindungen zwischen Medizin und Tomiris scheinen sie jedoch wenig mit Tomiris‘ Zweck und Arbeitsweise zu tun zu haben. Dies wirft die Möglichkeit auf, dass Tomiris nichts mit Hacker-Clustern aus Russland zu tun hat und dass es sich um eine Art „False-Flag“-Operation handelt.

Andererseits wird angenommen, dass Tıpla und Tomiris bei bestimmten Operationen zusammenarbeiten oder dass beide Akteure Tools von NTC Vulkan, einer in Moskau ansässigen IT-Vertragsfirma, verwenden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert