Tomiris与Nobelium之间的联系逐渐减弱

关键要点

在网络安全领域，来自Kaspersky的最新研究为担心Nobelium又名DarkHalo/APT29再次活动的人们带来了喘息之机。过去，研究者曾将Tomiris与Nobelium和另一个名为Trula的威胁团体联系在一起。Kaspersky的报告指出，尽管最初的研究显示Tomiris使用与SolarWinds攻击相关的恶意软件，但二者仍在被独立追踪。

根据Kaspersky在RSA大会上发布的报告，最新的分析表明，Tomiris在中央亚洲的APT攻击活动中使用了KopiLuwak和TunnusSched等恶意软件工具包。

“值得注意的是，尽管Tomiris的最新操作似乎利用了与Turla相关的恶意软件工具，但Kaspersky的最新研究解释了Turla和Tomiris很可能是不同的行为者，尽管它们可能在某些方面进行过合作。”Kaspersky

活动与工具

Tomiris的活动主要针对情报收集，尤其集中在中亚地区，同时也扩展至东南亚和中东。Kaspersky表示，Tomiris是一个非常灵活且有决心的行为者，并且在交付方法如DNS劫持和命令控制C2通道如Telegram中愿意进行实验。

恶意软件类型JLOGRAB文件窃取器JLORAT后门Tomiris NET下载器

工具集KopiLuwak和TunnusSched也是在Tomiris近期的活动中使用的，它们与APT团体Turla有关。

Kaspersky在报告中总结称，APT威胁研究常常是一个动态变化的目标。他们指出：“信息安全行业在研究网络攻击时面临的陷阱。”他们还特别感谢Mandiant发布的研究，认为行业合作与信息共享的重要性不可或缺。

“在更大的范围内，这项调查揭示了信息安全行业在处理网络攻击时面临的挑战。我们依赖于来自各方参与者的知识共享，但信息会随着时间流逝而失效：今天真实的事情明天可能会变得不再可靠。”