{"id":25712,"date":"2021-10-05T15:11:41","date_gmt":"2021-10-05T13:11:41","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25712"},"modified":"2021-10-05T15:11:41","modified_gmt":"2021-10-05T13:11:41","slug":"tomiris-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/tomiris-backdoor\/25712\/","title":{"rendered":"La backdoor Tomiris"},"content":{"rendered":"

I nostri esperti hanno trovato una nuova backdoor che i criminali informatici stanno gi\u00e0 utilizzando in attacchi mirati. La backdoor, chiamata Tomiris, \u00e8 simile, per certi aspetti, a Sunshuttle (ossia GoldMax), malware che DarkHalo (ossia Nobelium) ha usato in un attacco alla supply chain contro i clienti SolarWinds.<\/p>\n

Le funzionalit\u00e0 di Tomiris<\/h2>\n

Il compito principale della backdoor Tomiris \u00e8 quello di distribuire ulteriori malware al dispositivo della vittima. \u00c8 in costante comunicazione con il server C&C dei criminali informatici e scarica i file eseguibili, che applica con elementi specifici.<\/p>\n

I nostri esperti hanno anche trovato una variante di file rubati. Il malware ha selezionato i file creati di recente con determinate estensioni (.doc, .docx, .pdf, .rar e altri) e li ha caricati sul server C&C.<\/p>\n

I creatori della backdoor l\u2019hanno fornita di varie caratteristiche, in modo tale da ingannare le tecnologie di sicurezza e fuorviare gli investigatori. Per esempio, alla consegna, il malware per ben 9 minuti non fa nulla, un ritardo che probabilmente \u00e8 in grado di ingannare qualsiasi meccanismo di rilevamento basato su sandbox<\/a>. Inoltre, l\u2019indirizzo del server C&C non \u00e8 codificato direttamente in Tomiris, l\u2019URL e le informazioni sulla porta provengono da un server di segnalazione.<\/p>\n

Come Tomiris riesce ad accedere ai computer<\/h2>\n

Per consegnare la backdoor, i criminali informatici usano il DNS hijacking<\/a> per reindirizzare il traffico dai server di posta delle organizzazioni bersaglio ai propri siti dannosi (probabilmente ottenendo le credenziali per il pannello di controllo sul sito del registrar del nome di dominio). In questo modo, possono attirare i clienti su una pagina che sembra la pagina di login del vero servizio di posta. Naturalmente, quando qualcuno inserisce le credenziali sulla pagina falsa, i criminali informatici le ottengono immediatamente.<\/p>\n

Naturalmente, i siti a volte richiedono agli utenti di installare un aggiornamento di sicurezza per poter funzionare. In questo caso, l\u2019aggiornamento era in realt\u00e0 il download di Tomiris.<\/p>\n

Per maggiori dettagli tecnici sulla backdoor Tomiris, insieme agli indicatori di compromissione e ai collegamenti osservati tra Tomiris e gli strumenti DarkHalo, leggete il nostro post su Securelist<\/a>.<\/p>\n

Come stare al sicuro<\/h2>\n

Il metodo di consegna del malware sopra descritto non funzioner\u00e0 se il computer che accede all\u2019interfaccia di posta \u00e8 protetto da una robusta soluzione di sicurezza<\/a>. Inoltre, qualsiasi attivit\u00e0 degli operatori APT nella rete aziendale pu\u00f2 essere rilevata con l\u2019aiuto degli esperti che lavorano con Kaspersky Managed Detection and Response<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Alla conferenza SAS 2021, i nostri esperti hanno parlato della backdoor Tomiris, che sembra essere legata al gruppo DarkHalo.<\/p>\n","protected":false},"author":2581,"featured_media":21444,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[592,3581,925,3580,1363],"class_list":{"0":"post-25712","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-apt","11":"tag-darkhalo","12":"tag-sas","13":"tag-sas-2021","14":"tag-security-analyst-summit"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/tomiris-backdoor\/25712\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/tomiris-backdoor\/23437\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/tomiris-backdoor\/18910\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/tomiris-backdoor\/9466\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/tomiris-backdoor\/25503\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/tomiris-backdoor\/23581\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/tomiris-backdoor\/23001\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/tomiris-backdoor\/26156\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/tomiris-backdoor\/31600\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/tomiris-backdoor\/10112\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/tomiris-backdoor\/42239\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/tomiris-backdoor\/17824\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/tomiris-backdoor\/18271\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/tomiris-backdoor\/15371\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/tomiris-backdoor\/27511\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/tomiris-backdoor\/31733\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/tomiris-backdoor\/27661\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/tomiris-backdoor\/29792\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/tomiris-backdoor\/29591\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25712","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=25712"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25712\/revisions"}],"predecessor-version":[{"id":25717,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25712\/revisions\/25717"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/21444"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=25712"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=25712"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=25712"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}