เปลเมนี่ แรปเปอร์
นักวิเคราะห์ความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญ Turla ใหม่ที่นำเสนอกลยุทธ์ที่เป็นนวัตกรรมและการดัดแปลงเฉพาะตัวของโทรจัน Kazuar ซึ่งเผยแพร่ผ่านกระดาษห่อที่ไม่คุ้นเคยชื่อ Pelmeni
Turla ซึ่งเป็นกลุ่ม APT (Advanced Persistent Threat) จารกรรมทางไซเบอร์ที่เชื่อมโยงกับ FSB ของรัสเซีย มีชื่อเสียงในด้านการกำหนดเป้าหมายที่พิถีพิถันและก้าวการดำเนินงานที่ไม่เปลี่ยนแปลง ตั้งแต่ปี 2004 เป็นต้นมา Turla ให้ความสำคัญกับหน่วยงานภาครัฐ สถานวิจัย คณะทูต และภาคส่วนต่างๆ เช่น พลังงาน โทรคมนาคม และเภสัชกรรมในระดับโลก
แคมเปญที่ได้รับการตรวจสอบเน้นย้ำถึงความชื่นชอบของ Turla ในการโจมตีที่แม่นยำ การแทรกซึมในขั้นต้นมีแนวโน้มที่จะเกิดขึ้นจากการติดไวรัสก่อนหน้านี้ ซึ่งประสบความสำเร็จโดยการติดตั้ง DLL ที่เป็นอันตรายซึ่งซ่อนตัวอยู่ภายในไลบรารี่ที่ดูเหมือนจริงจากบริการหรือผลิตภัณฑ์ที่ถูกต้องตามกฎหมาย Pelmeni Wrapper เริ่มการโหลดน้ำหนักบรรทุกที่เป็นอันตรายตามมา
เครื่องห่อ Pelmeni ทำหน้าที่คุกคามหลายอย่าง
Pelmeni Wrapper นำเสนอฟังก์ชันการทำงานที่ตามมา:
- การบันทึกการปฏิบัติงาน : สร้างไฟล์บันทึกที่ซ่อนอยู่พร้อมชื่อและนามสกุลแบบสุ่มเพื่อติดตามกิจกรรมแคมเปญอย่างรอบคอบ
- การจัดส่งเพย์โหลด : ใช้กลไกการถอดรหัสตามความต้องการโดยใช้ตัวสร้างตัวเลขสุ่มหลอกเพื่ออำนวยความสะดวกในการโหลดและดำเนินการฟังก์ชันต่างๆ
- การเปลี่ยนเส้นทางกระบวนการดำเนินการ : จัดการเธรดกระบวนการและแนะนำการแทรกโค้ดเพื่อเปลี่ยนเส้นทางการดำเนินการไปยังแอสเซมบลี .NET ที่ถอดรหัสแล้วซึ่งเป็นที่อยู่ของมัลแวร์หลัก
ขั้นตอนสุดท้ายของห่วงโซ่การโจมตีที่ซับซ้อนของ Turla เปิดตัวพร้อมกับการเปิดใช้งาน Kazuar ม้าโทรจันอเนกประสงค์ที่เป็นส่วนประกอบหลักในคลังแสงของ Turla นับตั้งแต่ขุดพบในปี 2560 นักวิจัยได้สังเกตเห็นความก้าวหน้าที่ละเอียดอ่อนแต่เป็นผลสืบเนื่องในการใช้งานของ Kazuar โดยเน้นที่โปรโตคอลใหม่สำหรับข้อมูล การกรองข้อมูลและความคลาดเคลื่อนในไดเร็กทอรีการบันทึก - การเบี่ยงเบนที่เพียงพอที่จะแยกแยะตัวแปรที่ใหม่กว่าจากรุ่นก่อน
