(画像提供: Shutterstock)
- Tomiris APTが多言語マルウェアインプラントで政府機関を標的
- グループはC2トラフィックをTelegramやDiscordに隠し、初期侵入にフィッシングを利用
- キャンペーンは国家レベルの諜報活動に焦点を当て、ロシアや中央アジアの機関を攻撃
ロシア語を話すAPTハッカーグループ「Tomiris」は、攻撃の焦点を政府省庁、政府間組織、政治的に重要な機関に絞り込んでいます。
これはサイバーセキュリティ研究者であるカスペルスキーの新しいレポートによるもので、2025年初頭からTomirisが多言語のインプラントを大量に展開する侵入の波が発生しているとしています。
Go、Rust、Python、PowerShell(その他も含む)で書かれたこれらのツールは、柔軟性や難読化、さらには攻撃者の特定を困難にするために設計されています。
ロシアおよび中央アジアの被害者を標的
Tomirisは現在、コマンド&コントロール(C2)インフラをTelegramやDiscordといった公共サービスに隠しているとされ、これにより悪意のあるトラフィックを通常の暗号化メッセージの流れの中に紛れ込ませています。
Tomiris Python、Discord ReverseShell、Tomiris Python Telegram ReverseShellなど、いくつかのリバースシェルは、コマンドの受信や盗んだデータの流出の両方にこれらのプラットフォームを完全に依存しています。
初期侵入は通常、ロシア語で書かれたルールを使ったフィッシングによって行われます。ステージ1のマルウェアが展開されると、攻撃者は潜伏し、システムコマンドを実行し、ステージ2のマルウェアを展開します。カスペルスキーはまた、HavocやAdaptixC2といったフレームワークが後の段階で登場し、永続化や横展開、デバイスの乗っ取りに使われていると述べています。
Tomirisのフィッシング誘導の半数以上は、ロシア語を話す個人や機関を標的にしているとされています。残りはトルクメニスタン、キルギス、タジキスタン、ウズベキスタンなど中央アジア諸国に位置しています。カスペルスキーは、これは機会的な犯罪ではなく、国家レベルの諜報活動に焦点を当てたキャンペーンであることを強調しています。
「戦術の進化は、脅威アクターがステルス性、長期的な持続性、政府および政府間組織への戦略的標的化に注力していることを示しています」とカスペルスキーは結論付けています。「C2通信に公共サービスや多言語インプラントを利用することは、行動分析やネットワークトラフィック検査などの高度な検出戦略が、このような脅威を効果的に特定・軽減するために必要であることを浮き彫りにしています。」
