Tomiris cấy ghép dịch vụ công cho C2 tàng hình hơn trong các cuộc tấn công

[T-X]

Kẻ tấn công có tên Tomiris được cho là đã thực hiện các cuộc tấn công nhắm vào các bộ ngoại giao, tổ chức liên chính phủ và các cơ quan chính phủ ở Nga với mục đích thiết lập quyền truy cập từ xa và triển khai các công cụ bổ sung.

"Những cuộc tấn công này cho thấy sự thay đổi đáng chú ý trong chiến thuật của Tomiris, cụ thể là việc gia tăng sử dụng các phần mềm cấy ghép tận dụng các dịch vụ công cộng (ví dụ: Telegram và Discord) làm máy chủ chỉ huy và kiểm soát (C2)", các nhà nghiên cứu Oleg Kupreev và Artem Ushkov của Kaspersky cho biết trong một bài phân tích. "Cách tiếp cận này có thể nhằm mục đích pha trộn lưu lượng độc hại với hoạt động dịch vụ hợp pháp để tránh bị các công cụ bảo mật phát hiện."

Công ty an ninh mạng cho biết hơn 50% email lừa đảo và tệp tin giả mạo được sử dụng trong chiến dịch này sử dụng tên người Nga và chứa văn bản tiếng Nga, cho thấy mục tiêu chính là người dùng hoặc các tổ chức nói tiếng Nga. Các email lừa đảo này cũng nhắm vào Turkmenistan, Kyrgyzstan, Tajikistan và Uzbekistan bằng cách sử dụng nội dung được thiết kế riêng bằng ngôn ngữ quốc gia của họ.

Các cuộc tấn công nhắm vào cơ sở hạ tầng chính trị và ngoại giao có giá trị cao đã tận dụng sự kết hợp giữa các shell ngược, các phần mềm cấy ghép tùy chỉnh và các khuôn khổ C2 nguồn mở như Havoc và AdaptixC2 để tạo điều kiện cho việc khai thác sau này.

Thông tin chi tiết về Tomiris lần đầu tiên xuất hiện vào tháng 9 năm 2021 khi Kaspersky làm sáng tỏ hoạt động bên trong của một cửa hậu cùng tên, xác định mối liên hệ của nó với SUNSHUTTLE (hay còn gọi là GoldMax), một phần mềm độc hại được tin tặc APT29 người Nga sử dụng để đứng sau cuộc tấn công chuỗi cung ứng SolarWinds và Kazuar, một cửa hậu gián điệp dựa trên .NET được Turla sử dụng.

Bất chấp những điểm trùng lặp này, Tomiris được đánh giá là một tác nhân đe dọa khác, chủ yếu tập trung vào việc thu thập thông tin tình báo ở Trung Á. Trong một báo cáo được công bố vào tháng 12 năm 2024, Microsoft đã kết nối backdoor Tomiris với một tác nhân đe dọa có trụ sở tại Kazakhstan mà họ theo dõi là Storm-0473.

Các báo cáo tiếp theo từ Cisco Talos, Seqrite Labs, Group-IB và   Đăng nhập để xem liên kết đã củng cố giả thuyết này, với các phân tích xác định sự chồng chéo với các cụm được gọi là Cavalry Werewolf, ShadowSilk, Silent Lynx, SturgeonPhisher và YoroTrooper.

Hoạt động mới nhất được Kaspersky ghi nhận bắt đầu bằng các email lừa đảo chứa các tệp RAR độc hại được bảo vệ bằng mật khẩu. Mật khẩu để mở tệp lưu trữ được bao gồm trong nội dung email. Trong tệp là một tệp thực thi giả dạng tài liệu Microsoft Word (*.doc.exe), khi được khởi chạy, sẽ thả một shell ngược C/C++ chịu trách nhiệm thu thập thông tin hệ thống và liên hệ với máy chủ C2 để truy xuất AdaptixC2.

Reverse Shell cũng thực hiện các sửa đổi trong Windows Registry để đảm bảo tính bền vững của payload đã tải xuống. Chỉ riêng trong năm nay, đã có ba phiên bản khác nhau của phần mềm độc hại này được phát hiện.

Ngoài ra, các kho lưu trữ RAR được phát tán qua email đã được phát hiện có thể phân phối các họ phần mềm độc hại khác, từ đó kích hoạt chuỗi lây nhiễm của riêng chúng:

    Trình tải xuống dựa trên Rust thu thập thông tin hệ thống và gửi đến webhook Discord; tạo các tệp tập lệnh Visual Basic Script (VBScript) và PowerShell; và khởi chạy VBScript bằng cscript, chạy tập lệnh PowerShell để tìm tệp ZIP chứa tệp thực thi liên kết với Havoc.
    Một shell đảo ngược dựa trên Python sử dụng Discord làm C2 để nhận lệnh, thực thi lệnh và chuyển kết quả trở lại máy chủ; tiến hành trinh sát; và tải xuống các bản cấy ghép giai đoạn tiếp theo, bao gồm AdaptixC2 và FileGrabber dựa trên Python để thu thập các tệp có phần mở rộng jpg,.png,.pdf,.txt,.docx và.doc.
    Một backdoor dựa trên Python có tên là Distopia dựa trên dự án mã nguồn mở dystopia-c2 và sử dụng Discord làm C2 để thực thi các lệnh điều khiển và tải xuống các tải trọng bổ sung, bao gồm một shell ngược dựa trên Python sử dụng Telegram cho C2 để chạy lệnh trên máy chủ và gửi đầu ra trở lại máy chủ.

Kho vũ khí phần mềm độc hại của Tomiris cũng bao gồm một số shell đảo ngược và phần mềm cấy ghép được viết bằng nhiều ngôn ngữ lập trình khác nhau -

    Shell đảo ngược AC# sử dụng Telegram để nhận lệnh
    Một phần mềm độc hại dựa trên Rust có tên là JLORAT có thể chạy lệnh và chụp ảnh màn hình
    Một shell đảo ngược dựa trên Rust sử dụng PowerShell làm shell thay vì "cmd.exe"
    Một shell đảo ngược dựa trên Go thiết lập kết nối TCP để chạy lệnh thông qua "cmd.exe"
    Một cửa hậu PowerShell sử dụng Telegram để thực thi lệnh và tải xuống tệp tùy ý vào vị trí "C:\Users\Public\Libraries\"
    Shell đảo ngược AC# sử dụng để thiết lập kết nối TCP để chạy lệnh thông qua "cmd.exe"
    Một proxy SOCKS ngược được viết bằng C++ sửa đổi dự án Reverse-SOCKS5 nguồn mở để xóa các thông báo gỡ lỗi và ẩn cửa sổ bảng điều khiển
    Một proxy SOCKS ngược được viết bằng Golang để sửa đổi dự án ReverseSocks5 nguồn mở nhằm xóa các thông báo gỡ lỗi và ẩn cửa sổ bảng điều khiển

"Chiến dịch Tomiris 2025 tận dụng các mô-đun phần mềm độc hại đa ngôn ngữ để tăng cường tính linh hoạt trong hoạt động và tránh bị phát hiện bằng cách ít bị nghi ngờ hơn", Kaspersky cho biết. "Sự phát triển về chiến thuật này nhấn mạnh sự tập trung của tin tặc vào việc ẩn mình, duy trì hoạt động lâu dài và nhắm mục tiêu chiến lược vào các tổ chức chính phủ và liên chính phủ."