Pelmeni ümbris

Küberturvalisuse analüütikud on välja toonud värske Turla kampaania, mis tutvustab uuenduslikke strateegiaid ja Kazuari trooja isikupärastatud kohandamist, mida levitatakse tundmatu Pelmeni-nimelise ümbrise kaudu.

Turla , Venemaa FSB-ga seotud küberspionaaži APT (Advanced Persistent Threat) rühmitus, on tuntud oma täpse sihtimise ja vankumatu tegevustempo poolest. Alates 2004. aastast on Turla tegelenud valitsusasutuste, uurimisasutuste, diplomaatiliste esinduste ja selliste sektoritega nagu energeetika, telekommunikatsioon ja farmaatsia ülemaailmsel tasandil.

Uuritud kampaania rõhutab Turla kalduvust täpsete löökide järele. Esialgne imbumine toimub tõenäoliselt eelnevate nakatumiste kaudu, millele järgneb ähvardava DLL-i juurutamine, mis on maskeeritud näiliselt autentsetes teekides seaduslike teenuste või toodete kaudu. Pelmeni ümbris käivitab järgneva kahjuliku kasuliku koorma laadimise.

Pelmeni ümbris täidab mitmeid ähvardavaid funktsioone

Pelmeni ümbrises on järgmised funktsioonid:

• Operatiivne logimine : loob varjatud logifaili juhuslike nimede ja laiendustega, et jälgida kampaania tegevusi diskreetselt.
• Kasuliku koorma kohaletoimetamine : kasutab laadimise ja funktsioonide täitmise hõlbustamiseks spetsiaalset dekrüpteerimismehhanismi, mis kasutab pseudojuhuslike arvude generaatorit.
• Täitmise voo ümbersuunamine : manipuleerib protsessilõime ja sisestab koodi, et suunata täitmine ümber dekrüpteeritud .NET-i komplekti, mis sisaldab peamist pahavara.

Turla keeruka ründeahela viimane etapp avaneb Kazuari, mitmekülgse Trooja hobuse aktiveerimisega, mis on olnud Turla arsenali põhielement alates selle leidmisest 2017. aastal. Teadlased on täheldanud Kazuari kasutuselevõtul peent, kuid siiski mõjuvat edusamme, tuues esile uudse andmeprotokolli. väljafiltreerimine ja lahknevused logikataloogis – piisavad kõrvalekalded, et eristada uuemat varianti eelkäijatest.