لفاف پلمنی
تحلیلگران امنیت سایبری یک کمپین جدید Turla را کشف کرده اند که استراتژی های نوآورانه و اقتباس شخصی تروجان Kazuar را به نمایش می گذارد، که از طریق یک بسته بندی ناآشنا به نام Pelmeni توزیع شده است.
Turla ، یک گروه جاسوسی سایبری APT (تهدید پایدار پیشرفته) مرتبط با FSB روسیه، به دلیل هدفگیری دقیق و سرعت عملیاتی تزلزلناپذیر خود مشهور است. از سال 2004، تورلا به ارگانهای دولتی، مؤسسات تحقیقاتی، مأموریتهای دیپلماتیک و بخشهایی مانند انرژی، مخابرات و داروسازی در مقیاس جهانی دست پیدا کرده است.
کمپین مورد بررسی بر تمایل تورلا به ضربات دقیق تاکید می کند. نفوذ اولیه احتمالاً از طریق آلودگیهای قبلی اتفاق میافتد که با استقرار یک DLL تهدیدآمیز که در کتابخانههای به ظاهر معتبر از خدمات یا محصولات قانونی استتار شده است، به دست میآید. Pelmeni Wrapper بارگیری محموله مضر بعدی را آغاز می کند.
Pelmeni Wrapper چندین عملکرد تهدیدآمیز را اجرا می کند
Pelmeni Wrapper عملکردهای بعدی را به نمایش می گذارد:
- گزارش عملیاتی : یک فایل گزارش مخفی با نامها و پسوندهای تصادفی ایجاد میکند تا فعالیتهای کمپین را بطور محتاطانه نظارت کند.
- تحویل بار : از مکانیزم رمزگشایی سفارشی استفاده می کند که از یک تولید کننده اعداد شبه تصادفی برای تسهیل بارگیری و اجرای عملکردها استفاده می کند.
- تغییر مسیر جریان اجرا : رشته های فرآیند را دستکاری می کند و تزریق کد را برای هدایت مجدد اجرا به یک مجموعه دات نت رمزگشایی شده که بدافزار اصلی را در خود جای داده است، معرفی می کند.
مرحله نهایی زنجیره حمله پیچیده تورلا با فعال شدن Kazuar، یک اسب تروا همه کاره که از زمان کشف آن در سال 2017 یکی از عناصر اصلی در زرادخانه تورلا بوده است، آشکار می شود. محققان پیشرفت های ظریف و در عین حال متعاقب را در استقرار Kazuar مشاهده کرده اند که پروتکل جدیدی را برای داده ها برجسته کرده است. نفوذ و اختلاف در دایرکتوری ورود به سیستم - انحرافات کافی برای تشخیص نوع جدیدتر از پیشینیان.
