Araştırmacıların özellikle dikkatini çeken şey, Tomiris’in daha önce bir başka kötü şöhretli APT grubu olan Turla ile bağlantılı kötü amaçlı yazılımları kullanması oldu.
Kaspersky, Tomiris’i ilk kez Eylül 2021’de Bağımsız Devletler Topluluğu’ndaki (BDT) bir devlet kuruluşuna yönelik DNS korsanlığı soruşturmasının ardından kamuoyuna açıklamıştı. Araştırmacılar o dönemde saldırının SolarWinds olayıyla kesin olmayan benzerliklere dikkat çekmişti. Araştırmacılar bu tehdit aktörü 2021 ve 2023 yılları arasında birkaç yeni saldırı kampanyasında ayrı bir tehdit aktörü olarak izlemeye devam ettiler. Kaspersky telemetrisi, grubun araç setine ve Turla ile olası bağlantısına ışık tutmaya yardımcı oldu.
Nihai amacı gizli belgeleri çalmak olan tehdit aktörü, BDT’deki hükümete ait olan ve diplomatik kurumları hedef alıyor. Arada bir Orta Doğu veya Güneydoğu Asya gibi diğer bölgelerde de keşfedilen kurbanların BDT ülkelerinin yabancı temsilcilikleri olduğunun ortaya çıkması, Tomiris’in dar bir hedefe odaklandığını gösteriyor.
Bu tehdit aktörü çok çeşitli saldırı vektörleri kullanarak kurbanlarının peşine düşüyor. Kötü amaçlı içerik eklenmiş kimlik avı e-postaları (parola korumalı arşivler, kötü amaçlı belgeler, silahlandırılmış LNK’ler), DNS ele geçirme, güvenlik açıklarından yararlanma, şüpheli drive-by indirmeleri ve diğer yaratıcı yöntemler APT’nin bulaşmak için kullandığı teknikler arasında yer alıyor.
Ticari araç alışverişinde bulunan ayrı aktörler
Tomiris’in son operasyonlarını özel kılan şey büyük ihtimalle daha önce Turla ile bağlantılı olan KopiLuwak ve TunnusSched zararlı yazılımlarını kullanmış olmaları. Ancak ortak araç setini paylaşmalarına rağmen, Kaspersky’nin son araştırması Turla ve Tomiris’in büyük olasılıkla ticari araç alışverişinde bulunan ayrı aktörler olduğunu gösteriyor.
Tehdit aktörü Rusça konuşmakla birlikte, hedefleri ve ticaret için kullandığı teknikler Turla için gözlemlenenlerle önemli ölçüde çelişiyor. Ayrıca Tomiris’in izinsiz girişlere dair genel yaklaşımı ve gizliliğe olan sınırlı ilgisi, daha önce belgelenmiş Turla ticaret teknikleriyle eşleşmiyor. Bununla birlikte güvenlik araştırmacıları, ortak araç paylaşımının Tomiris ve Turla arasındaki iş birliğinin potansiyel bir kanıtı olduğuna inanıyor. Bu durum bu tehdit aktörü KopiLuwak’ı ne zaman kullanmaya başladığına bağlı olarak, Turla ile bağlantılı olduğu düşünülen bir dizi kampanya ve aracın yeniden değerlendirilmesini gerektirebilir. HABER MERKEZİ
