s0671-tomiris - RunkIntel

# Tomiris > Tipo: **backdoor** · S0671 · [MITRE ATT&CK](https://attack.mitre.org/software/S0671) ## Attack Flow ```mermaid graph TB A["DNS Hijacking Redireciona dominio corporativo Vitima: pais membro CEI"] --> B["Landing page falsa Solicita update de software Entrega payload Tomiris"] B --> C["Instalacao e persistência Scheduled Task no Windows T1053.005 execução recorrente"] C --> D["Beacon C2 continuo HTTP HTTPS polling T1071.001 - Web Protocols"] D --> E["Download e execução Busca executaveis no C2 T1105 - Ingress Tool Transfer"] E --> F["Exfiltração de dados Arquivos locais coletados T1041 sobre canal C2"] classDef initial fill:#e74c3c,color:#fff classDef deliver fill:#e67e22,color:#fff classDef persist fill:#3498db,color:#fff classDef c2 fill:#27ae60,color:#fff classDef exec fill:#9b59b6,color:#fff classDef exfil fill:#1abc9c,color:#fff class A initial class B deliver class C persist class D c2 class E exec class F exfil ``` ## Descrição [[s0671-tomiris|Tomiris]] e um backdoor escrito na linguagem Go, atribuido ao grupo russo [[g0016-apt29|APT29]] (Cozy Bear / Nobelium), documentado públicamente pela Kaspersky em setembro de 2021 durante a investigação de uma campanha de sequestro de DNS contra um governo membro da Comunidade dos Estados Independentes (CEI). A atribuicao a [[g0016-apt29|APT29]] e baseada em sobreposicoes de código, infraestrutura e TTPs com o [[s0588-goldmax|GoldMax]] - o backdoor usado na operação SolarWinds - embora o proprio grupo tenha historico de desenvolver múltiplas ferramentas para diferentes fases de operação. O vetor de entrega do [[s0671-tomiris|Tomiris]] e incomum e sofisticado: os atacantes realizaram sequestro de DNS de um dominio governamental pertencente a organização alvo, redirecionando visitantes para uma pagina falsa que solicitava uma "atualização de software critica". Visitantes que aceitavam o update recebiam um installer que continha o [[s0671-tomiris|Tomiris]] embutido. Esse vetor aproveitou a confiança implicita que usuarios depositam em dominios governamentais legítimos - uma forma de supply chain attack social mais do que tecnico. A campanha demonstra a sofisticacao operacional do [[g0016-apt29|APT29]] em adaptar vetores de acesso inicial conforme o alvo. A arquitetura do [[s0671-tomiris|Tomiris]] e deliberadamente simples e funcional: o backdoor implementa um loop de polling continuo contra seu servidor C2 via HTTP ou HTTPS ([[t1071-001-web-protocols|T1071.001]]), consultando periodicamente por executaveis para download e execução ([[t1105-ingress-tool-transfer|T1105]]). Essa abordagem de "pull C2" - onde o implant busca instrucoes em vez de receber push - e mais resistente a bloqueios de firewall e detecção de conexoes de entrada. O malware implementa verificacoes de tempo (time-based checks) para evitar sandbox automation ([[t1497-003-time-based-checks|T1497.003]]) e usa empacotamento de software para dificultar análise estática ([[t1027-002-software-packing|T1027.002]]). A persistência do [[s0671-tomiris|Tomiris]] e estabelecida via Scheduled Task do Windows ([[t1053-005-scheduled-task|T1053.005]]), garantindo execução recorrente sem necessidade de driver kernel ou bootkit - uma escolha deliberada por leveza operacional caracteristica de implants de primeiro estagio. O malware também coleta arquivos do sistema local ([[t1005-data-from-local-system|T1005]]) e os exfiltra através do canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). A escolha do Go como linguagem de desenvolvimento oferece ao [[g0016-apt29|APT29]] vantagens práticas: compilacao cross-platform, binario standalone sem dependências, e relativa raridade em análise de malware comparada a C/C++. A conexão com [[s0588-goldmax|GoldMax]] (também chamado de SUNSHUTTLE) e significativa: ambos sao backdoors Go usados por [[g0016-apt29|APT29]] em campanhas de espionagem governamental, com padroes de comunicação C2 similares. O [[s0671-tomiris|Tomiris]] seria um implant de primeiro estagio usado para estabelecer acesso inicial, enquanto [[s0588-goldmax|GoldMax]] era deployed como segundo estagio após reconnaissance. Essa divisao em camadas minimiza exposicao da toolchain mais sofisticada. **Plataformas:** Windows ## Diagrama de Atribuicao e Toolchain ```mermaid graph TB subgraph APT29_Toolchain GROUP["APT29 Cozy Bear / Nobelium SVR Russia"] TOMIRIS["Tomiris Go backdoor Primeiro estagio"] GOLDMAX["GoldMax Go backdoor Segundo estagio"] SUNBURST["SUNBURST SolarWinds supply chain 2020"] COBALT["Cobalt Strike Post-exploitation Lateral movement"] end GROUP --> TOMIRIS GROUP --> GOLDMAX GROUP --> SUNBURST GROUP --> COBALT TOMIRIS --> GOLDMAX ``` ## Técnicas Utilizadas - [[t1568-dynamic-resolution|T1568 - Dynamic Resolution]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecao A detecao do [[s0671-tomiris|Tomiris]] foca em tres vetores: anomalia de DNS, comportamento de Scheduled Task e padrao de polling C2. Monitorar alteracoes nao autorizadas em registros DNS de dominios corporativos - especialmente registros A e CNAME modificados sem aprovacao administrativa - pode revelar campanhas de DNS hijacking antes da infecção. Alertar para criação de Scheduled Tasks por processos nao esperados ou com comandos de execução de binarios em paths temporarios ([[t1053-005-scheduled-task|T1053.005]]). Detectar polling HTTP/HTTPS regular e periodico para dominios nao categorizados ou recentemente registrados - padroes de beacon a cada 30-60 segundos sao suspeitos. Binarios Go podem ser detectados por assinaturas de compilador Go em análise estática e por uso de bibliotecas runtime Go específicas. Monitorar processos filhos criados por Scheduled Tasks que fazem downloads de rede ([[t1105-ingress-tool-transfer|T1105]]). ## Relevância LATAM/Brasil O [[s0671-tomiris|Tomiris]] e o grupo [[g0016-apt29|APT29]] tem foco documentado em espionagem governamental e diplomatica - setores com alta relevância para o Brasil como potencia regional. Embaixadas brasileiras, ministerios de relacoes exteriores e organismos de inteligência estao no perfil de alvo historico do [[g0016-apt29|APT29]]. A técnica de DNS hijacking usada na campanha Tomiris e especialmente relevante para organizacoes brasileiras: registradores de dominio brasileiros e infraestrutura DNS pública tem historico de vulnerabilidades que podem ser exploradas por atacantes sofisticados. A relacao entre [[s0671-tomiris|Tomiris]] e [[s0588-goldmax|GoldMax]] - toolchain utilizado contra multinacionais e governos na campanha SolarWinds - indica que o [[g0016-apt29|APT29]] pode reutilizar infraestrutura e técnicas em campanhas contra alvos brasileiros de interesse estratégico para a Russia. ## Referências - [1](https://attack.mitre.org/software/S0671/) MITRE ATT&CK - Tomiris S0671 - [2](https://securelist.com/tomiris-called-they-want-their-turla-to-back/109552/) Kaspersky Securelist - Tomiris Called, They Want Their Turla to Back (2022) - [3](https://www.kaspersky.com/blog/apt29-tomiris-backdoor/41100/) Kaspersky - Linking Tomiris to APT29/Cozy Bear (2021)