Эксперты Лаборатории Касперского выявили новую серию атак продвинутой постоянной угрозы (APT) Tomiris, начавшуюся в начале 2025 года. Целями киберпреступников стали министерства иностранных дел, межправительственные организации и государственные учреждения, что демонстрирует их фокус на критически важной политической и дипломатической инфраструктуре. В нескольких случаях исследователям удалось отследить действия злоумышленников от первоначального заражения до развертывания пост-эксплуатационных фреймворков.
Описание
Эти атаки подчеркивают заметный сдвиг в тактике Tomiris, в частности, расширенное использование имплантов, которые задействуют публичные сервисы, такие как Telegram и Discord, в качестве командных серверов (C2). Такой подход позволяет смешивать вредоносный трафик с легитимной активностью служб для уклонения от обнаружения системами безопасности.
Большинство заражений начинается с развертывания инструментов обратной оболочки (reverse shell), написанных на различных языках программирования, включая Go, Rust, C/C++ и Python. Некоторые из них затем доставляют фреймворки с открытым исходным кодом: Havoc или AdaptixC2.
Технические детали кампании раскрывают сложную многостадийную атаку. Изначальное проникновение осуществляется через фишинговые письма, содержащие защищенные паролем архивы. Внутри архивов находятся исполняемые файлы, часто маскирующиеся под документы Office с двойными расширениями вида .doc<много_пробелов>.exe. Длинные имена файлов скрывают их настоящие расширения от пользователей.
Особый интерес представляет имплант Tomiris C/C++ ReverseShell, который после быстрой проверки окружения загружает бэкдор AdaptixC2. Злоумышленники используют встроенные утилиты ОС для загрузки вредоносной полезной нагрузки, включая bitsadmin, curl, PowerShell и certutil. Затем они обеспечивают постоянство (persistence) через добавление в реестр Windows и проверяют успешность внедрения.
Обнаружен также ранее не документированный загрузчик на Rust, который собирает системную информацию и передает ее на Discord через webhook. Интересно, что троянец передает только пути к файлам с определенными расширениями, но не сами файлы. После сбора данных он создает скрипты для загрузки и выполнения дополнительных компонентов.
Питоновский имплант Tomiris Python Discord ReverseShell использует мессенджер Discord в качестве канала управления. Его функциональность включает выполнение команд и загрузку последующих компонентов, таких как AdaptixC2 и Tomiris Python FileGrabber, который специализируется на сборе файлов с определенными расширениями.
В арсенале группы присутствуют и другие инструменты, включая бэкдор Distopia на Python, различные варианты обратных оболочек на C#, Rust и Go, а также прокси-серверы обратного SOCKS. Многие из этих инструментов основаны на открытых проектах с GitHub с минимальными модификациями.
Анализ жертв показывает, что более 50% фишинговых писем и файлов-приманок использовали русские имена и содержали текст на русском языке. Остальные письма были адаптированы для пользователей в Туркменистане, Кыргызстане, Таджикистане и Узбекистане с контентом на национальных языках.
Атрибуция к группе Tomiris подтверждается многочисленными пересечениями в методах распространения, включая использование специфических длинных имен файлов и паролей к архивам в формате "xyz@2025". Различные образцы вредоносного ПО часто распространялись под одинаковыми именами файлов, что указывает на их связь.
Эволюция тактики Tomiris подчеркивает фокус группы на скрытности, долгосрочном persistence и стратегическом таргетинге правительственных и межправительственных организаций. Использование публичных сервисов для C2-коммуникаций и многоязычных имплантов требует применения продвинутых стратегий обнаружения, включая поведенческий анализ и инспекцию сетевого трафика.
Индикаторы компрометации
IPv4
- 109.172.85.63
- 109.172.85.95
- 185.173.37.67
- 185.209.30.41
- 185.231.154.84
- 185.231.155.111
- 185.244.180.169
- 188.127.225.191
- 188.127.227.226
- 188.127.231.136
- 188.127.251.146
- 192.153.57.189
- 192.165.32.78
- 195.2.78.133
- 195.2.81.99
- 206.188.196.191
- 62.113.114.209
- 64.7.199.193
- 77.232.39.47
- 77.232.42.107
- 78.128.112.209
- 91.219.148.93
- 94.198.52.200
- 94.198.52.210
- 96.9.124.207
URLs
- http://141.98.82.198:9942/bot_auth
- http://172.86.75.102/
- http://188.127.251.146:8080/sbchost.rar
- http://188.127.251.146:8080/sxbchost.exe
- http://192.153.57.9/private/svchost.exe
- http://193.149.129.113/
- http://193.149.129.113/732.exe
- http://193.149.129.113/system.exe
- http://195.2.79.245/732.exe
- http://195.2.79.245/code.exe
- http://195.2.79.245/firefox.exe
- http://195.2.79.245/rever.exe
- http://195.2.79.245/service.exe
- http://195.2.79.245/winload.exe
- http://195.2.79.245/winload.rar
- http://195.2.79.245/winsrv.rar
- http://195.2.79.245/winupdate.exe
- http://62.113.115.89/homepage/infile.php
- http://62.113.115.89/offel.exe
- http://82.115.223.210:9942/bot_auth
- http://82.115.223.218/
- http://82.115.223.78/private/dwm.exe
- http://82.115.223.78/private/msview.exe
- http://82.115.223.78/private/spoolsvc.exe
- http://82.115.223.78/private/svchost.exe
- http://82.115.223.78/private/sysmgmt.exe
- http://85.209.128.171:8000/AkelPad.rar
- http://88.214.25.249:443/netexit.rar
- http://88.214.26.37:9942/bot_auth
- http://89.110.95.151/dwm.exe
- http://89.110.98.234/code.exe
- http://89.110.98.234/Rar.exe
- http://89.110.98.234/rever.rar
- http://89.110.98.234/winload.exe
- http://89.110.98.234/winload.rar
- http://89.110.98.234/winrm.exe
- https://api.telegram.org/bot7157076145:AAG79qKudRCPu28blyitJZptX_4z_LlxOS0/
- https://api.telegram.org/bot7562800307:AAHVB7Ctr-K52J-egBlEdVoRHvJcYr-0nLQ/
- https://api.telegram.org/bot7649829843:AAH_ogPjAfuv-oQ5_Y-s8YmlWR73Gbid5h0/
- https://api.telegram.org/bot7804558453:AAFR2OjF7ktvyfygleIneu_8WDaaSkduV7k/
- https://api.telegram.org/bot7864956192:AAEjExTWgNAMEmGBI2EsSs46AhO7Bw8STcY/
- https://api.telegram.org/bot8039791391:AAHcE2qYmeRZ5P29G6mFAylVJl8qH_ZVBh8/
- https://api.telegram.org/bot8044543455:AAG3Pt4fvf6tJj4Umz2TzJTtTZD7ZUArT8E/
- https://discord.com/api/webhooks/1357597727164338349/ikaFqukFoCcbdfQIYXE91j-dGB-8YsTNeSrXnAclYx39Hjf2cIPQalTlAxP9-2791UCZ
- https://discord.com/api/webhooks/1369277038321467503/KqfsoVzebWNNGqFXePMxqi0pta2445WZxYNsY9EsYv1u_iyXAfYL3GGG76bCKy3-a75
- https://discord.com/api/webhooks/1370623818858762291/p1DC3l8XyGviRFAR50de6tKYP0CCr1hTAes9B9ljbd-J-dY7bddi31BCV90niZ3bxIMu
- https://discord.com/api/webhooks/1386588127791157298/FSOtFTIJaNRT01RVXk5fFsU_sjp_8E0k2QK3t5BUcAcMFR_SHMOEYyLhFUvkY3ndk8-w
- https://discord.com/api/webhooks/1388018607283376231/YYJe-lnt4HyvasKlhoOJECh9yjOtbllL_nalKBMUKUB3xsk7Mj74cU5IfBDYBYX-E78G
- https://discord.com/api/webhooks/1396726652565848135/OFds8Do2qH-C_V0ckaF1AJJAqQJuKq-YZVrO1t7cWuvAp7LNfqI7piZlyCcS1qvwpXTZ
- https://discordapp.com/api/webhooks/1355019191127904457/xCYi5fx_Y2-ddUE0CdHfiKmgrAC-Cp9oi-Qo3aFG318P5i-GNRfMZiNFOxFrQkZJNJsR
- https://discordapp.com/api/webhooks/1363764458815623370/IMErckdJLreUbvxcUA8c8SCfhmnsnivtwYSf7nDJF-bWZcFcSE2VhXdlSgVbheSzhGYE
- https://discordapp.com/api/webhooks/1392383639450423359/TmFw-WY-u3D3HihXqVOOinL73OKqXvi69IBNh_rr15STd3FtffSP2BjAH59ZviWKWJRX
- https://docsino.ru/wp-content/private/alone.exe
- https://docsino.ru/wp-content/private/winupdate.exe
- https://sss.qwadx.com/12345.exe
- https://sss.qwadx.com/AkelPad.exe
- https://sss.qwadx.com/netexit.rar
- https://sss.qwadx.com/winload.exe
- https://sss.qwadx.com/winsrv.exe
MD5
- 078be0065d0277935cdcf7e3e9db4679
- 087743415e1f6cc961e9d2bb6dfd6d51
- 091fbacd889fa390dc76bb24c2013b59
- 0f955d7844e146f2bd756c9ca8711263
- 1083b668459beacbc097b3d4a103623f
- 1241455da8aadc1d828f89476f7183b7
- 2ed5ebc15b377c5a03f75e07dc5f1e08
- 2fba6f91ada8d05199ad94affd5e5a18
- 33ed1534bbc8bd51e7e2cf01cadc9646
- 42e165ab4c3495fade8220f4e6f5f696
- 4edc02724a72afc3cf78710542db1e6e
- 83267c4e942c7b86154acd3c58eaf26c
- 9a9b1ba210ac2ebfe190d1c63ec707fa
- b8fe3a0ad6b64f370db2ea1e743c84bb
- c0f81b33a80e5e4e96e503dbc401cbee
- c73c545c32e5d1f72b74ab0087ae1720
- c75665e77ffb3692c2400c3c8dd8276b
- cd46316aebc41e36790686f1ec1c39f0
- df95695a3a93895c1e87a76b4a8a9812
- f1dca0c280e86c39873d8b6af40f7588
