Nhóm tấn công mạng được biết đến với tên Tomiris đã được xác định đứng sau các cuộc tấn công nhằm vào các bộ ngoại giao, tổ chức liên chính phủ và thực thể chính phủ ở Nga với mục tiêu thiết lập quyền truy cập từ xa và triển khai các công cụ bổ sung.
"Các cuộc tấn công này làm nổi bật một sự thay đổi đáng chú ý trong chiến thuật của Tomiris, đó là việc tăng cường sử dụng các implant lợi dụng các dịch vụ công cộng (ví dụ: Telegram và Discord) làm máy chủ Command-and-Control (C2)," các nhà nghiên cứu Oleg Kupreev và Artem Ushkov của Kaspersky cho biết trong một phân tích. "Cách tiếp cận này có lẽ nhằm mục đích hòa trộn lưu lượng độc hại với hoạt động dịch vụ hợp pháp để tránh bị các công cụ bảo mật phát hiện."
Công ty an ninh mạng cho biết hơn 50% các email spear-phishing và tệp mồi nhử được sử dụng trong chiến dịch có tên và chứa văn bản tiếng Nga, cho thấy người dùng hoặc tổ chức nói tiếng Nga là mục tiêu chính. Các email spear-phishing cũng đã nhắm mục tiêu vào Turkmenistan, Kyrgyzstan, Tajikistan và Uzbekistan với nội dung được điều chỉnh phù hợp bằng ngôn ngữ quốc gia của họ.
Các cuộc tấn công nhằm vào cơ sở hạ tầng chính trị và ngoại giao có giá trị cao đã tận dụng sự kết hợp của các reverse shell, custom implant và các framework C2 mã nguồn mở như Havoc và AdaptixC2 để tạo điều kiện thuận lợi cho giai đoạn post-exploitation.
Thông tin chi tiết về Tomiris lần đầu tiên xuất hiện vào tháng 9 năm 2021 khi Kaspersky làm sáng tỏ hoạt động bên trong của một backdoor cùng tên, chỉ ra các liên kết của nó với SUNSHUTTLE (còn gọi là GoldMax), một malware được các hacker APT29 của Nga sử dụng trong cuộc tấn công chuỗi cung ứng SolarWinds, và Kazuar, một backdoor gián điệp dựa trên .NET được Turla sử dụng.
Mặc dù có những điểm trùng lặp này, Tomiris được đánh giá là một nhóm tấn công mạng khác, chủ yếu tập trung vào thu thập thông tin tình báo ở Trung Á. Microsoft, trong một báo cáo được công bố vào tháng 12 năm 2024, đã liên kết backdoor Tomiris với một nhóm tấn công mạng có trụ sở tại Kazakhstan mà họ theo dõi dưới tên Storm-0473.
Các báo cáo tiếp theo từ Cisco Talos, Seqrite Labs, Group-IB và BI.ZONE đã củng cố giả thuyết này, với các phân tích xác định sự trùng lặp với các nhóm được gọi là Cavalry Werewolf, ShadowSilk, Silent Lynx, SturgeonPhisher và YoroTrooper.
Hoạt động mới nhất của Tomiris
Hoạt động mới nhất được Kaspersky ghi nhận bắt đầu bằng các email phishing chứa các tệp RAR độc hại được bảo vệ bằng mật khẩu. Mật khẩu để mở kho lưu trữ được bao gồm trong nội dung email. Có mặt trong tệp là một executable giả mạo tài liệu Microsoft Word (*.doc.exe) mà khi khởi chạy, sẽ thả một C/C++ reverse shell chịu trách nhiệm thu thập thông tin hệ thống và liên hệ với máy chủ C2 để lấy AdaptixC2.
Reverse shell cũng thực hiện các sửa đổi Windows Registry để đảm bảo tính dai dẳng cho payload đã tải xuống. Chỉ riêng trong năm nay đã phát hiện ba phiên bản khác nhau của malware.
Ngoài ra, các kho lưu trữ RAR được phát tán qua email còn được phát hiện chứa các họ malware khác, mà lần lượt kích hoạt các chuỗi lây nhiễm riêng của chúng -
- Một downloader dựa trên Rust thu thập thông tin hệ thống và gửi đến một Discord webhook; tạo các tệp Visual Basic Script (VBScript) và PowerShell script; và khởi chạy VBScript bằng cscript, chạy PowerShell script để tìm nạp một tệp ZIP chứa một executable liên quan đến Havoc.
- Một reverse shell dựa trên Python sử dụng Discord làm C2 để nhận lệnh, thực thi chúng và exfiltrate kết quả trở lại máy chủ; thực hiện reconnaissance; và tải xuống các implant giai đoạn tiếp theo, bao gồm AdaptixC2 và một FileGrabber dựa trên Python thu thập các tệp khớp với các extension jpg, .png, .pdf, .txt, .docx và .doc.
- Một backdoor dựa trên Python có tên Distopia dựa trên dự án mã nguồn mở dystopia-c2 và sử dụng Discord làm C2 để thực thi các lệnh console và tải xuống các payload bổ sung, bao gồm một reverse shell dựa trên Python sử dụng Telegram làm C2 để chạy lệnh trên máy chủ và gửi output trở lại máy chủ.
Kho vũ khí Malware của Tomiris
Kho vũ khí malware của Tomiris cũng bao gồm một số reverse shell và implant được viết bằng các ngôn ngữ lập trình khác nhau -
- Một C# reverse shell sử dụng Telegram để nhận lệnh.
- Một malware dựa trên Rust có tên JLORAT có thể chạy lệnh và chụp ảnh màn hình.
- Một reverse shell dựa trên Rust sử dụng PowerShell làm shell thay vì "cmd.exe".
- Một Go-based reverse shell thiết lập kết nối TCP để chạy lệnh thông qua "cmd.exe".
- Một PowerShell backdoor sử dụng Telegram để thực thi lệnh và tải xuống một tệp tùy ý đến vị trí "C:\Users\Public\Libraries\".
- Một C# reverse shell thiết lập kết nối TCP để chạy lệnh thông qua "cmd.exe".
- Một reverse SOCKS proxy được viết bằng C++ sửa đổi dự án mã nguồn mở Reverse-SOCKS5 để loại bỏ các thông báo debug và ẩn cửa sổ console.
- Một reverse SOCKS proxy được viết bằng Golang sửa đổi dự án mã nguồn mở ReverseSocks5 để loại bỏ các thông báo debug và ẩn cửa sổ console.
"Chiến dịch Tomiris 2025 tận dụng các module malware đa ngôn ngữ để tăng cường tính linh hoạt trong hoạt động và tránh bị phát hiện bằng cách xuất hiện ít đáng ngờ hơn," Kaspersky cho biết. "Sự phát triển trong chiến thuật nhấn mạnh sự tập trung của nhóm tấn công mạng vào khả năng ẩn mình, duy trì lâu dài và nhắm mục tiêu chiến lược vào các tổ chức chính phủ và liên chính phủ."
