Tomiris から電話があり、Turla マルウェアを元に戻したい from securelist.com
security summary
私たちが観察したところによると、Telemiris は、オペレーターが Roopy、JLORAT、さらには正規の WinSCP バイナリなどの他のツールを展開してファイルをさらに抽出するために使用する第 1 段階のインプラントとして使用されています。
私たちが最近発見したように (そして、Tomiris の配備騒ぎ: TunnusSched プレゼントで詳しく説明されています)、TunnusSched は 2022 年 9 月に CIS の政府の標的に対して Tomiris によって活用されました。
さらに、以下の理由から、Mandiant が説明した TunnusSched の使用が Tomiris の操作の一部であると確信しています。
Tomiris が使用した TunnusSched サンプルと Mandiant が参照したサンプルは、どちらも同じ期間 (2022 年 9 月) に CIS の標的に対して展開されました。
KopiLuwak、Tunnus、TunnusSched などは JavaScript と .NET で記述されており、ソース コードは基本的にマルウェアと共に提供されているため、他の攻撃者がこれらのツールを別の目的で使用し、偽装して使用している可能性があります。
コメント