Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Томирис се префрла на импланти за јавна употреба за Stealthier C2 во нападите врз владини цели

Објавено: 01.12.2025

Заканувачкиот актер познат како Tomiris е поврзан со напади насочени кон министерства за надворешни работи, меѓувладини организации и владини субјекти во Русија, со цел да воспостави далечински пристап и да распореди дополнителни алатки.

„Овие напади истакнуваат значајна промена во тактиките на Tomiris, а тоа е зголемената употреба на импланти кои користат јавни сервиси (на пр., Telegram и Discord) како командно-контролни (C2) сервери,“ велат истражувачите на Kaspersky, Олег Купреев и Артем Ушков, во анализа. „Овој пристап најверојатно има за цел да го спои малициозниот сообраќај со легитимна активност за да се избегне детекција од безбедносните алатки.“

Кибербезбедносната компанија соопшти дека повеќе од 50% од фишинг-мејловите и мамечки датотеки користени во кампањата имале руски имиња и содржеле руски текст, што укажува дека корисници или субјекти што зборуваат руски биле примарна мета. Фишинг-мејловите биле насочени и кон Туркменистан, Киргистан, Таџикистан и Узбекистан, со прилагодена содржина напишана на нивните национални јазици.

Нападите насочени кон политичка и дипломатска инфраструктура со висока вредност искористиле комбинација од reverse shell-ови, прилагодени импланти и open-source C2 рамки како Havoc и AdaptixC2 за олеснување на пост-експлоатација.

Деталите за Tomiris првпат се појавија во септември 2021 година, кога Kaspersky ги откри внатрешните механизми на истоимената backdoor-задна врата, посочувајќи ги нејзините врски со SUNSHUTTLE (познат и како GoldMax), малициозен софтвер користен од руската група APT29 зад нападот на ланецот снабдување SolarWinds, и Kazuar, .NET-базиран шпионски backdoor користен од Turla.
И покрај овие сличности, Tomiris се оценува како посебен актер кој главно се фокусира на собирање разузнавачки информации во Централна Азија. Microsoft, во извештај објавен во декември 2024, го поврза Tomiris backdoor-от со актер кој делува од Казахстан, означен како Storm-0473.

Следните извештаи од Cisco Talos, Seqrite Labs, Group-IB и BI.ZONE ја зајакнуваат оваа хипотеза, идентификувајќи преклопувања со кластери познати како Cavalry Werewolf, ShadowSilk, Silent Lynx, SturgeonPhisher и YoroTrooper.

Најновата активност документирана од Kaspersky започнува со фишинг е-пораки што содржат малициозни RAR-архиви заштитени со лозинка. Лозинката за архивата е вклучена во текстот на е-пораката. Во архивата се наоѓа извршна датотека која се претставува како Microsoft Word документ (*.doc.exe), која при стартување испушта C/C++ reverse shell, одговорен за собирање системски информации и контактирање C2-сервер со цел преземање на AdaptixC2.

Reverse shell-от исто така врши измени во Windows Registry со цел да обезбеди перзистентност за преземениот payload. Само оваа година се откриени три различни верзии од малициозниот софтвер.

Алтернативно, RAR-архивите испратени преку мејл биле пронајдени како испорачуваат и други семејства на малициозен софтвер, кои потоа иницираат сопствени инфекции:

  • Downloader напишан во Rust кој собира системски информации и ги испраќа до Discord webhook; создава Visual Basic Script (VBScript) и PowerShell скрипти; и го стартува VBScript преку cscript, кој ја извршува PowerShell скриптата за да преземе ZIP-датотека што содржи извршна датотека поврзана со Havoc.
  • Reverse shell напишан во Python кој користи Discord како C2 за примање наредби, нивно извршување, и испраќање на резултатите назад на серверот; спроведува извидување; и презема следни импланти, вклучувајќи AdaptixC2 и Python-базиран FileGrabber што собира датотеки со екстензии .jpg, .png, .pdf, .txt, .docx, .doc.
  • Python backdoor наречен Distopia, базиран на open-source проектот dystopia-c2, кој користи Discord како C2 за извршување конзолни команди и преземање дополнителни payload-и, вклучувајќи Python reverse shell кој користи Telegram како C2 за извршување команди на хостот и испраќање на резултатите назад до серверот.

Малвер-арсеналот на Tomiris исто така вклучува бројни reverse shell-ови и импланти напишани на различни програмски јазици:

  • C# reverse shell кој користи Telegram за примање команди
  • Rust-базиран малвер наречен JLORAT, кој може да извршува наредби и да прави screenshots
  • Rust reverse shell што користи PowerShell како shell наместо „cmd.exe“
  • Reverse shell напишан во Go кој воспоставува TCP конекција за извршување команди преку „cmd.exe“
  • PowerShell backdoor кој користи Telegram за извршување команди и преземање произволни датотеки во локацијата „C:\Users\Public\Libraries\“
  • C# reverse shell кој воспоставува TCP врска за извршување команди преку „cmd.exe“
  • Reverse SOCKS прокси напишан во C++ кој го модифицира open-source проектот Reverse-SOCKS5 за да ги отстрани debugging пораките и да го сокрие конзолниот прозорец
  • Reverse SOCKS прокси напишан во Go кој го модифицира open-source проектот ReverseSocks5 за истата цел – отстранување debugging пораки и сокривање на конзолата

„Кампањата Tomiris 2025 користи мултијазични малвер-модули за да ја зголеми оперативната флексибилност и да избегне детекција со тоа што изгледа помалку сомнително,“ соопшти Kaspersky. „Еволуцијата на тактиките укажува на фокусот на актерот врз прикриеност, долгорочна перзистентност и стратешко таргетирање на владини и меѓувладини организации.“

Извори:

  • The Hacker News – Tomiris Shifts to Public-Service Implants for Stealthier C2 in Attacks on Government Targets The Hacker News