Pelmeni Wrapper

Ang mga analyst ng Cybersecurity ay nakahukay ng bagong Turla campaign na nagpapakita ng mga makabagong estratehiya at isang personalized na adaptasyon ng Kazuar Trojan, na ipinamahagi sa pamamagitan ng isang hindi pamilyar na wrapper na pinangalanang Pelmeni.

Ang Turla , isang cyber espionage na APT (Advanced Persistent Threat) na pangkat na naka-link sa Russian FSB, ay kilala sa maselang pag-target nito at hindi natitinag na bilis ng pagpapatakbo. Mula noong 2004, ang Turla ay nakatuon sa mga katawan ng pamahalaan, mga establisimiyento ng pananaliksik, mga diplomatikong misyon, at mga sektor tulad ng enerhiya, telekomunikasyon at mga parmasyutiko sa isang pandaigdigang saklaw.

Binibigyang-diin ng sinuri na kampanya ang pagkahilig ni Turla para sa mga tumpak na strike. Ang paunang paglusot ay malamang na nangyayari sa pamamagitan ng mga naunang impeksyon, na nagtagumpay sa pag-deploy ng isang nagbabantang DLL na naka-camouflag sa loob ng tila tunay na mga aklatan mula sa mga lehitimong serbisyo o produkto. Sinisimulan ng Pelmeni Wrapper ang pagkarga ng kasunod na mapaminsalang kargamento.

Ang Pelmeni Wrapper ay Gumagawa ng Ilang Mga Pagbabantang Function

Ang Pelmeni Wrapper ay nagpapakita ng mga kasunod na pag-andar:

• Operational Logging : Bumubuo ng isang nakatagong log file na may mga random na pangalan at extension upang masubaybayan ang mga aktibidad ng kampanya nang maingat.
• Paghahatid ng Payload : Gumagamit ng isang pasadyang mekanismo ng pag-decryption na gumagamit ng pseudo-random na generator ng numero upang mapadali ang pag-load at pagpapatupad ng mga function.
• Pag-redirect ng Daloy ng Pagpapatupad : Nagmamanipula ng mga thread ng proseso at nagpapakilala ng mga iniksyon ng code upang i-redirect ang pagpapatupad sa isang naka-decrypt na .NET assembly na naglalaman ng pangunahing malware.

Ang huling yugto ng masalimuot na kadena ng pag-atake ng Turla ay nagbubukas sa pag-activate ng Kazuar, isang maraming nalalamang Trojan horse na naging pangunahing sangkap sa arsenal ng Turla mula nang ito ay mahukay noong 2017. Naobserbahan ng mga mananaliksik ang banayad ngunit makabuluhang mga pagsulong sa pag-deploy ng Kazuar, na nagha-highlight ng isang bagong protocol para sa data. exfiltration at mga pagkakaiba sa direktoryo ng pag-log - sapat na mga paglihis upang makilala ang mas bagong variant mula sa mga nauna nito.