Tomiris与Nobelium之间的联系逐渐减弱

关键要点

• Tomiris与被认为是SolarWinds攻击元凶的APT团体Nobelium之间的联系正在减弱。
• 对Tomiris最新恶意活动的分析表明，该APT团体可能与Nobelium没有直接关系。
• 研究显示，尽管Tomiris使用了一些与Turla相关的工具包，但其与Turla的直接联系并不充分。
• Tomiris的目标主要集中在中亚，但也扩展至东南亚和中东。

在网络安全领域，来自Kaspersky的最新研究为担心Nobelium（又名DarkHalo/APT29）再次活动的人们带来了喘息之机。过去，研究者曾将Tomiris与Nobelium和另一个名为Trula的威胁团体联系在一起。Kaspersky的报告指出，尽管最初的研究显示Tomiris使用与SolarWinds攻击相关的恶意软件，但二者仍在被独立追踪。

根据Kaspersky在，最新的分析表明，Tomiris在中央亚洲的APT攻击活动中使用了KopiLuwak和TunnusSched等恶意软件工具包。

“值得注意的是，尽管Tomiris的最新操作似乎利用了与Turla相关的恶意软件工具，但Kaspersky的最新研究解释了Turla和Tomiris很可能是不同的行为者，尽管它们可能在某些方面进行过合作。”——Kaspersky

活动与工具

Tomiris的活动主要针对情报收集，尤其集中在中亚地区，同时也扩展至东南亚和中东。Kaspersky表示，Tomiris是一个非常灵活且有决心的行为者，并且在交付方法（如DNS劫持）和命令控制（C2）通道（如Telegram）中愿意进行实验。

恶意软件 | 类型
—|—
JLOGRAB | 文件窃取器
JLORAT | 后门
Tomiris .NET | 下载器

工具集KopiLuwak和TunnusSched也是在Tomiris近期的活动中使用的，它们与APT团体Turla有关。

Kaspersky在报告中总结称，APT威胁研究常常是一个动态变化的目标。他们指出：“信息安全行业在研究网络攻击时面临的陷阱。”他们还特别感谢Mandiant发布的研究，认为行业合作与信息共享的重要性不可或缺。

“在更大的范围内，这项调查揭示了信息安全行业在处理网络攻击时面临的挑战。我们依赖于来自各方参与者的知识共享，但信息会随着时间流逝而失效：今天真实的事情明天可能会变得不再可靠。”