{"id":17824,"date":"2021-10-05T17:26:12","date_gmt":"2021-10-05T15:26:12","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17824"},"modified":"2021-10-05T17:26:12","modified_gmt":"2021-10-05T15:26:12","slug":"tomiris-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/tomiris-backdoor\/17824\/","title":{"rendered":"La porte d\u00e9rob\u00e9e Tomiris"},"content":{"rendered":"

Nos experts ont d\u00e9couvert une nouvelle porte d\u00e9rob\u00e9e que les cybercriminels utilisent d\u2019ores et d\u00e9j\u00e0 pour des attaques cibl\u00e9es. La porte d\u00e9rob\u00e9e, connue comme Tomiris, ressemble \u00e0 Sunshuttle (alias GoldMax) pour de nombreuses raisons, un malware que DarkHalo (alias Nobelium) a utilis\u00e9 dans une attaque de la cha\u00eene d\u2019approvisionnement contre les clients de SolarWinds.<\/p>\n

Les capacit\u00e9s de Tomiris<\/h2>\n

La principale t\u00e2che de la porte d\u00e9rob\u00e9e Tomiris est de distribuer un malware suppl\u00e9mentaire sur l\u2019appareil de la victime. Il est en communication continue avec le serveur de commande et contr\u00f4le (C&C) des cybercriminels et t\u00e9l\u00e9charge des fichiers ex\u00e9cutables qu\u2019il ex\u00e9cute ensuite selon les arguments indiqu\u00e9s.<\/p>\n

Nos experts ont aussi trouv\u00e9 une variante qui vole les fichiers. Le malware s\u00e9lectionne les fichiers r\u00e9cemment cr\u00e9\u00e9s ayant certaines extensions (.doc, .docx, .pdf, .rar et bien d\u2019autres) puis les t\u00e9l\u00e9charge sur le serveur de commande et contr\u00f4le.<\/p>\n

Les cr\u00e9ateurs de la porte d\u00e9rob\u00e9e ont inclus plusieurs fonctionnalit\u00e9s pour d\u00e9jouer les technologies de s\u00e9curit\u00e9 et tromper les chercheurs. Par exemple, lors de la livraison, le malware est inactif pendant 9 minutes. Un laps de temps qui devrait duper n\u2019importe quel m\u00e9canisme de d\u00e9tection bas\u00e9 sur la sandbox<\/a>. De plus, l\u2019adresse du serveur de commande et contr\u00f4le n\u2019est pas chiffr\u00e9e directement dans Tomiris. L\u2019URL et les informations relatives au port viennent d\u2019un serveur de signalisation.<\/p>\n

Comment Tomiris atteint les ordinateurs<\/h2>\n

Pour distribuer la porte d\u00e9rob\u00e9e, les cybercriminels utilisent l\u2019empoisonnement du cache DNS (DNS hijacking<\/a><\/em>) pour rediriger le trafic des serveurs de messagerie de l\u2019entreprise prise pour cible vers leurs sites malveillants (certainement en obtenant les identifiants du panneau de contr\u00f4le sur le site du registre des noms de domaine). Ainsi, ils peuvent tromper les clients et les rediriger vers une page qui ressemble \u00e0 l\u2019authentique page de connexion du service de messagerie. \u00c9videmment, lorsqu\u2019une personne saisit ses identifiants sur la fausse page, les malfaiteurs les re\u00e7oivent imm\u00e9diatement.<\/p>\n

Les sites demandent parfois aux utilisateurs d\u2019installer une mise \u00e0 jour de s\u00e9curit\u00e9 pour bien fonctionner. Dans ce cas, la mise \u00e0 jour \u00e9tait en r\u00e9alit\u00e9 un programme de t\u00e9l\u00e9chargement pour Tomiris.<\/p>\n

Consultez l\u2019article publi\u00e9 sur Securelist<\/a> si vous souhaitez obtenir plus de d\u00e9tails techniques sur la porte d\u00e9rob\u00e9e Tomiris, et conna\u00eetre les indicateurs de compromission et les connexions observ\u00e9es entre les outils Tomiris et DarkHalo.<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

La m\u00e9thode de distribution du malware d\u00e9crite ci-dessus ne fonctionne pas si l\u2019ordinateur ayant acc\u00e8s \u00e0 l\u2019interface web de la messagerie est prot\u00e9g\u00e9 par une solution de s\u00e9curit\u00e9<\/a> robuste. De plus, toute activit\u00e9 d\u2019un op\u00e9rateur d\u2019APT dans le r\u00e9seau professionnel peut \u00eatre d\u00e9tect\u00e9e gr\u00e2ce au savoir-faire des experts de Kaspersky Managed Detection and Response<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nos experts ont mentionn\u00e9 la porte d\u00e9rob\u00e9e Tomiris, qui semble \u00eatre associ\u00e9e au groupe DarkHalo, lors de la conf\u00e9rence SAS 2021.<\/p>\n","protected":false},"author":2581,"featured_media":14725,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[498,4209,602,4199,1038],"class_list":{"0":"post-17824","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-darkhalo","11":"tag-sas","12":"tag-sas-2021","13":"tag-security-analyst-summit"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/tomiris-backdoor\/17824\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/tomiris-backdoor\/23437\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/tomiris-backdoor\/18910\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/tomiris-backdoor\/9466\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/tomiris-backdoor\/25503\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/tomiris-backdoor\/23581\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/tomiris-backdoor\/23001\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/tomiris-backdoor\/26156\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/tomiris-backdoor\/25712\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/tomiris-backdoor\/31600\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/tomiris-backdoor\/10112\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/tomiris-backdoor\/42239\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/tomiris-backdoor\/18271\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/tomiris-backdoor\/15371\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/tomiris-backdoor\/27511\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/tomiris-backdoor\/31733\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/tomiris-backdoor\/27661\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/tomiris-backdoor\/29792\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/tomiris-backdoor\/29591\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17824","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=17824"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17824\/revisions"}],"predecessor-version":[{"id":17826,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17824\/revisions\/17826"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/14725"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=17824"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=17824"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=17824"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}