पेल्मेनी रैपर
साइबर सुरक्षा विश्लेषकों ने एक नए टरला अभियान का खुलासा किया है जिसमें नवीन रणनीतियों और कज़ुअर ट्रोजन के व्यक्तिगत अनुकूलन को प्रदर्शित किया गया है, जिसे पेलमेनी नामक एक अपरिचित रैपर के माध्यम से वितरित किया गया है।
टर्ला , रूसी एफएसबी से जुड़ा एक साइबर जासूसी एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह, अपने सावधानीपूर्वक लक्ष्यीकरण और अटूट परिचालन गति के लिए प्रसिद्ध है। 2004 के बाद से, टरला ने वैश्विक स्तर पर सरकारी निकायों, अनुसंधान प्रतिष्ठानों, राजनयिक मिशनों और ऊर्जा, दूरसंचार और फार्मास्यूटिकल्स जैसे क्षेत्रों पर ध्यान केंद्रित किया है।
जांचा गया अभियान सटीक हमलों के लिए तुरला की रुचि को रेखांकित करता है। प्रारंभिक घुसपैठ संभवतः पूर्व संक्रमणों के माध्यम से होती है, जो वैध सेवाओं या उत्पादों से प्रतीत होने वाले प्रामाणिक पुस्तकालयों के भीतर छिपे हुए एक खतरनाक डीएलएल की तैनाती से सफल होती है। पेल्मेनी रैपर बाद के हानिकारक पेलोड की लोडिंग शुरू करता है।
पेल्मेनी रैपर कई खतरनाक कार्य निष्पादित करता है
पेल्मेनी रैपर निम्नलिखित कार्यक्षमताओं को प्रदर्शित करता है:
- ऑपरेशनल लॉगिंग : अभियान गतिविधियों की सावधानीपूर्वक निगरानी करने के लिए यादृच्छिक नामों और एक्सटेंशन के साथ एक छिपी हुई लॉग फ़ाइल उत्पन्न करता है।
- पेलोड डिलिवरी : कार्यों को लोड करने और निष्पादित करने की सुविधा के लिए एक छद्म-यादृच्छिक संख्या जनरेटर को नियोजित करने वाले एक विशेष डिक्रिप्शन तंत्र का उपयोग करता है।
- निष्पादन प्रवाह पुनर्निर्देशन : प्रक्रिया थ्रेड्स में हेरफेर करता है और प्राथमिक मैलवेयर वाले डिक्रिप्टेड .NET असेंबली में निष्पादन को पुनर्निर्देशित करने के लिए कोड इंजेक्शन पेश करता है।
तुर्ला की जटिल आक्रमण श्रृंखला का अंतिम चरण कज़ुआर के सक्रियण के साथ सामने आता है, एक बहुमुखी ट्रोजन घोड़ा जो 2017 में अपनी खोज के बाद से तुरला के शस्त्रागार में एक प्रधान रहा है। शोधकर्ताओं ने काज़ुआर की तैनाती में सूक्ष्म लेकिन परिणामी प्रगति देखी है, जो डेटा के लिए एक नए प्रोटोकॉल पर प्रकाश डालती है। लॉगिंग निर्देशिका में घुसपैठ और विसंगतियां - नए संस्करण को उसके पूर्ववर्तियों से अलग करने के लिए पर्याप्त विचलन।
