提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

研究人员发现了托米里斯和达克洛太阳林突围事件背后的APT之间的新联系。

周三在卡巴斯基安全分析师峰会（SAS）上，研究人员说，一项新的活动揭示了达克洛的太阳梭之间的相似性，以及“目标重叠”与Kazuar一起。

太阳林事件发生在2020年。FireEye和Microsoft揭露了这一漏洞，在这起基于软件更新的供应链攻击中，SolarWinds的Orion网络管理软件遭到破坏，影响了多达18000名客户。

尽管数千名客户可能收到了恶意更新，威胁行动方似乎选择了值得进一步妥协的目标——包括微软、FireEye和政府机构。

微软总裁布拉德·史密斯（Brad Smith）称这起事件为“世界上有史以来规模最大、最复杂的攻击”。

最终，矛头指向高级持久性威胁（APT）组织DarkHalo/Nobelium作为责任方，该组织成功地在目标系统上部署了Sunburst/Solorigate后门、太阳黑子构建服务器监控软件和泪珠/雨滴滴管，旨在部署钴打击信标。

俄罗斯国家支持的组织的活动被追踪为UNC2452，它也与Sunshuttle/GoldMax后门有关。

6月，在Darkalo大约六个月的不活动后，卡巴斯基在一个未命名的独联体成员国发现了针对多个政府机构的DNS劫持活动。

卡巴斯基评论道：“这些劫持事件大部分时间相对较短，似乎主要针对受影响组织的邮件服务器。我们不知道威胁行为人是如何做到这一点的，但我们认为他们以某种方式获得了受害者使用的登记员控制小组的证书。“

研究人员说，活动运营商将试图访问电子邮件服务的受害者重定向到假域名，然后促使他们下载恶意软件更新，这是通过将受损区域的合法DNS服务器切换到攻击者控制的解析程序实现的。此更新包含Tomiris后门。

“进一步分析表明，后门的主要目的是在受攻击的系统中建立立足点，并下载其他恶意组件，”卡巴斯基补充道。“不幸的是，后者在调查过程中没有被确认。”

然而，托米里斯确实被证明是一个有趣的发现。后门被描述为与Sunshuttle“可疑地相似”

两个后门都是用Golang（Go）编程语言编写的，有效负载代码中存在相同的英语拼写错误，并且每个后门都使用类似的加密和模糊设置进行配置和网络流量管理。

此外，Tomiris和Sunshuttle都使用预定任务进行持久性以及基于睡眠的延迟机制。该团队认为“两个程序的一般工作流程”暗示了相同的开发实践。

然而，后门除了下载额外恶意软件的功能外，几乎没有其他功能，这表明Tomiris可能是更广泛的操作员工具包的一部分。

还应注意的是，Tomiris在同样感染Kazuar后门的环境中被发现，卡巴斯基已初步将恶意软件与Sunburst联系起来，而帕洛阿尔托也将Kazuar和Turla APT联系起来。思科塔罗斯最近还发现了Turla APT在受害者系统上部署的一个新的简单后门。

卡巴斯基还承认，这可能是一个“虚假标志”的案例，旨在误导研究人员，让他们走上错误的分析或归因道路。卡巴斯基安全研究员皮埃尔·德尔彻评论道：

“单独来看，这些项目都不足以让托米里斯和太阳梭有足够的信心。我们自由地承认，这些数据点中的一些可能是偶然的，但仍然认为，将它们放在一起，至少表明了共同作者身份或共享开发实践的可能性。“

以前及相关报道SolarWinds：我们了解得越多，情况就越糟SolarWinds黑客分析显示命令服务器占用空间增加了56%Microsoft:SolarWinds攻击花费了1000多名工程师创建

有什么建议吗？通过WhatsApp |信号+447713 025 499安全联系，或者在Keybase上：charlie0

这个危险的移动特洛伊木马从1000多万受害者手中窃取了一笔财富

Akamai以6亿美元收购了网络安全公司Guardicore

谷歌推出了新的海啸安全扫描奖励计划

电报机器人试图窃取你的一次性密码

2023-03-22 10:04:44