Ovoj za pelmeni

Analitiki kibernetske varnosti so odkrili svežo kampanjo Turla, ki prikazuje inovativne strategije in prilagojeno prilagoditev trojanca Kazuar, ki se distribuira prek neznanega ovoja z imenom Pelmeni.

Turla , skupina za kibernetsko vohunjenje APT (Advanced Persistent Threat), povezana z rusko FSB, slovi po natančnem ciljanju in neomajni operativni hitrosti. Od leta 2004 se Turla osredotoča na vladne organe, raziskovalne ustanove, diplomatske misije in sektorje, kot so energetika, telekomunikacije in farmacija na svetovni ravni.

Pregledana kampanja poudarja Turlino nagnjenost k natančnim udarcem. Začetna infiltracija se najverjetneje zgodi s predhodnimi okužbami, ki jim sledi uvedba nevarnega DLL-ja, zakamufliranega v navidezno pristne knjižnice zakonitih storitev ali izdelkov. Pelmeni Wrapper sproži nalaganje nadaljnjega škodljivega tovora.

Ovoj pelmena opravlja več nevarnih funkcij

Pelmeni Wrapper predstavlja naslednje funkcije:

• Operativno beleženje : Ustvari skrito datoteko dnevnika z naključnimi imeni in razširitvami za diskretno spremljanje dejavnosti kampanje.
• Dostava koristnega tovora : uporablja mehanizem za dešifriranje po meri, ki uporablja generator psevdonaključnih števil za lažje nalaganje in izvajanje funkcij.
• Preusmeritev izvajalnega toka : Manipulira procesne niti in uvaja vbrizgavanje kode za preusmeritev izvajanja na dešifriran sklop .NET, ki vsebuje primarno zlonamerno programsko opremo.

Zadnja stopnja Turline zapletene napadalne verige se odvije z aktivacijo Kazuarja, vsestranskega trojanskega konja, ki je stalnica v Turlinem arzenalu od izkopavanja leta 2017. Raziskovalci so opazili subtilen, a posledične napredke pri uvajanju Kazuarja, pri čemer poudarjajo nov protokol za podatke eksfiltracija in neskladja v imeniku beleženja - zadostna odstopanja za razlikovanje nove različice od predhodnic.