Kaspersky a lansat o nouă investigație asupra grupului Tomiris APT, care se concentrează pe colectarea de informații în Asia Centrală. Acest grup, vorbitor de limba rusă, folosește o mare varietate de implanturi malware dezvoltate într-un ritm rapid și în toate limbajele de programare imaginabile, probabil pentru a împiedica atribuirea. Ceea ce a atras atenția cercetătorilor este faptul că Tomiris implementează malware care, anterior, a fost asociat Turla, un alt grup APT cu notorietate.
Kaspersky a descris pentru prima dată public Tomiris în septembrie 2021, în urma investigației unei deturnări de DNS împotriva unei organizații guvernamentale din Comunitatea Statelor Independente (CSI). Pe atunci, cercetătorii observaseră asemănări neconcludente cu incidentul SolarWinds. Ei au continuat să urmărească Tomiris ca actor distinct, implicat în mai multe campanii de atac între 2021 și 2023, iar telemetria Kaspersky a permis să facă lumină asupra setului de instrumente al grupului și a posibilei conexiuni a acestuia cu Turla.
Atacatorul vizează entitățile guvernamentale și diplomatice din CSI, cu scopul final de a fura documente interne. Victimele ocazionale descoperite în alte regiuni (cum ar fi Orientul Mijlociu sau Asia de Sud-Est) se dovedesc a fi reprezentanți externi ai țărilor CSI, ilustrând focalizarea îngustă a lui Tomiris.
Tomiris își urmărește victimele folosind o mare varietate de vectori de atac: e-mailuri de tip spear-phishing cu conținut rău intenționat atașat (arhive protejate cu parolă, documente rău intenționate, LNK-uri armate), hijacking DNS, exploatarea vulnerabilităților (în special ProxyLogon), descărcări suspectate drive-by și alte metode „creative”.
Ceea ce diferențiază cele mai recente operațiuni ale lui Tomiris este faptul că, cu un nivel de încredere medie spre mare, au folosit programe malware KopiLuwak și TunnusSched care au fost asociate anterior cu Turla. Cu toate acestea, în ciuda împărtășirii acestui set de instrumente, cea mai recentă cercetare a Kaspersky explică că Turla și Tomiris sunt, foarte probabil, actori separați, care ar putea face schimb de informații în ceea ce privește activitatea rău intenționată.
Tomiris este, fără îndoială, vorbitor de limbă rusă, dar țintirea și instrumentele sale sunt semnificativ în contradicție cu ceea ce s-a observat pentru Turla. În plus, abordarea generală a Tomiris asupra intruziunii și interesul limitat pentru escamotare nu se potrivesc cu instrumentele Turla documentate. Cu toate acestea, cercetătorii Kaspersky cred că partajarea instrumentelor este o dovadă potențială a unei cooperări între Tomiris și Turla, a cărei amploare este dificil de evaluat. În orice caz, în funcție de momentul în care Tomiris a început să folosească KopiLuwak, o serie de campanii și instrumente despre care se crede că sunt legate de Turla ar putea, de fapt, să necesite o reevaluare.
Citiți raportul complet despre grupul APT Tomiris pe Securelist.
