Опаковка за пелмени
Анализаторите на киберсигурността откриха нова кампания на Turla, представяща иновативни стратегии и персонализирана адаптация на троянския кон Kazuar, разпространяван чрез непозната обвивка, наречена Pelmeni.
Turla , група за кибершпионаж APT (Advanced Persistent Threat), свързана с руската ФСБ, е известна със своето прецизно насочване и непоколебимо оперативно темпо. От 2004 г. Turla се фокусира върху правителствени органи, изследователски институции, дипломатически мисии и сектори като енергетика, телекомуникации и фармацевтични продукти в глобален мащаб.
Разгледаната кампания подчертава склонността на Turla към прецизни удари. Първоначалното проникване вероятно става чрез предишни инфекции, последвани от внедряването на заплашителен DLL, замаскиран в привидно автентични библиотеки от законни услуги или продукти. Pelmeni Wrapper инициира зареждането на последващия вреден полезен товар.
Опаковката на пелмени изпълнява няколко заплашителни функции
Pelmeni Wrapper демонстрира следните функции:
- Оперативно регистриране : Генерира скрит лог файл с произволни имена и разширения за дискретно наблюдение на дейностите на кампанията.
- Доставка на полезния товар : Използва механизъм за декриптиране по поръчка, използващ генератор на псевдо-случайни числа, за да улесни зареждането и изпълнението на функции.
- Пренасочване на потока на изпълнение : Манипулира нишките на процеса и въвежда инжектиране на код за пренасочване на изпълнението към декриптиран .NET модул, съдържащ основния зловреден софтуер.
Последният етап от сложната верига на атака на Turla се разгръща с активирането на Kazuar, многофункционален троянски кон, който е основна част от арсенала на Turla след разкриването му през 2017 г. Изследователите са наблюдавали фини, но последователни напредъци в внедряването на Kazuar, подчертавайки нов протокол за данни ексфилтрация и несъответствия в регистрационната директория - достатъчни отклонения за разграничаване на по-новия вариант от предшествениците му.