러시아어를 사용하는 해커 그룹이 정부 목표를 표적으로 삼고 있습니다.
- Tomiris APT는 여러 언어로 된 악성 코드 이식으로 정부 기관을 표적으로 삼습니다.
- 이 그룹은 초기 액세스를 위해 피싱을 사용하여 Telegram/Discord에서 C2 트래픽을 숨깁니다.
- 이 캠페인은 러시아와 중앙아시아 기관에 영향을 미치는 국가 수준의 정보에 중점을 두고 있습니다.
러시아어를 사용하는 APT 해킹 그룹인 Tomiris는 정부 부처, 정부 간 조직 및 정치적으로 중요한 기관을 표적으로 삼아 공격 범위를 좁혔습니다.
이는 2025년 초부터 Tomiris가 대규모 다국어 임플란트 무기고를 배치한 침입의 물결이 있었다고 주장하는 사이버 보안 연구원 Kaspersky의 새로운 보고서에 따른 것입니다.
Go, Rust, Python 및 PowerShell 등으로 작성된 도구는 유연성, 난독화 및 귀속을 어렵게 만들기 위해 설계되었습니다.
러시아와 중앙아시아 피해자 표적으로 삼아
Tomiris는 이제 Telegram이나 Discord와 같은 공공 서비스에서 명령 및 제어 인프라(C2)를 숨겨 일반적인 암호화된 메시지 흐름 내에서 악성 트래픽을 숨기는 데 도움이 된다고 합니다.
Tomiris Python, Discord ReverseShell 또는 Tomiris Python Telegram ReverseShell과 같은 여러 리버스 쉘은 전적으로 이러한 플랫폼에 의존하여 명령을 수신하고 훔친 데이터를 추출합니다.
초기 액세스는 일반적으로 러시아어로 작성된 규칙을 사용하는 피싱을 통해 이루어집니다. 1단계 악성 코드가 배포되면 공격자는 숨어서 시스템 명령을 실행하고 2단계 악성 코드를 배포합니다. Kaspersky는 또한 Havoc 및 AdaptixC2와 같은 프레임워크가 후기 단계에 나타나며 지속성, 측면 이동 및 장치 인수에 사용된다고 말했습니다.
Tomiris의 낚시 미끼 중 절반 이상이 러시아어를 사용하는 개인이나 기관을 대상으로 한 것으로 알려졌습니다. 나머지는 투르크메니스탄, 키르기스스탄, 타지키스탄, 우즈베키스탄 등 중앙아시아 국가에 있다. 카스퍼스키는 이번 사건이 기회주의적 범죄가 아니라 국가 차원의 정보 수집에 초점을 맞춘 캠페인이라고 강조했다.
Kaspersky는 “전술의 진화는 위협 행위자가 은밀함, 장기적인 지속성, 정부 및 정부 간 조직의 전략적 방향에 초점을 맞추고 있음을 강조합니다.”라고 결론지었습니다. “C2 통신 및 다국어 임플란트를 위한 공공 서비스의 사용은 이러한 위협을 효과적으로 식별하고 완화하기 위한 행동 분석 및 네트워크 트래픽 검사와 같은 고급 탐지 전략의 필요성을 강조합니다.”
도로 해커 뉴스
모든 주머니에 맞는 최고의 바이러스 백신
Google 뉴스에서 TechRadar 팔로우 나 우리를 즐겨찾는 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰 및 의견을 받으십시오. 팔로우 버튼을 꼭 눌러주세요!
물론 당신도 할 수 있다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 비디오 언박싱을 받고 정기적인 업데이트를 받기 위해 왓츠앱 ~도