Pelmeni kääre

Kyberturvallisuusanalyytikot ovat löytäneet uuden Turla-kampanjan, joka esittelee innovatiivisia strategioita ja Kazuar-troijalaisen personoidun mukautuksen, jota jaetaan tuntemattoman Pelmeni-nimisen kääreen kautta.

Turla , venäläiseen FSB:hen liittyvä kybervakoiluryhmä APT (Advanced Persistent Threat), on tunnettu huolellisesta kohdistamisestaan ja horjumattomasta toimintatahdistaan. Vuodesta 2004 lähtien Turla on nollannut valtakunnallisia elimiä, tutkimuslaitoksia, diplomaattisia edustustoja ja toimialoja, kuten energia-, televiestintä- ja lääketeollisuutta maailmanlaajuisesti.

Tutkittu kampanja korostaa Turlan taipumusta tarkkoihin iskuihin. Ensimmäinen tunkeutuminen tapahtuu todennäköisesti aiempien tartuntojen kautta, joita seuraa uhkaavan DLL:n käyttöönotto, joka on peitetty näennäisesti autenttisissa kirjastoissa laillisista palveluista tai tuotteista. Pelmeni Wrapper aloittaa haitallisen hyötykuorman lataamisen.

Pelmeni-kääreellä on useita uhkaavia toimintoja

Pelmeni Wrapper esittelee seuraavat toiminnot:

• Operational Logging : Luo piilotetun lokitiedoston, jossa on satunnaisia nimiä ja laajennuksia, jotta voit seurata kampanjan toimintaa huomaamattomasti.
• Hyötykuorman toimitus : Käyttää räätälöityä salauksen purkumekanismia, joka käyttää näennäissatunnaislukugeneraattoria toimintojen lataamisen ja suorittamisen helpottamiseksi.
• Suoritusvirran uudelleenohjaus : Manipuloi prosessisäikeitä ja lisää koodin lisäyksiä, jotka ohjaavat suorituksen salauksesta purettuun .NET-kokoonpanoon, joka sisältää ensisijaisen haittaohjelman.

Turlan monimutkaisen hyökkäysketjun viimeinen vaihe avautuu aktivoimalla Kazuar, monipuolinen troijalainen hevonen, joka on ollut osa Turlan arsenaalia vuodesta 2017 lähtien. Tutkijat ovat havainneet Kazuarin käyttöönotossa hienovaraisia, mutta merkittäviä edistysaskeleita, jotka korostavat uutta dataprotokollaa. exfiltration ja erot lokihakemistossa - riittävät poikkeamat erottaakseen uudemman muunnelman edeltäjistään.