Omot peljmena

Analitičari kibernetičke sigurnosti otkrili su svježu Turla kampanju koja prikazuje inovativne strategije i personaliziranu adaptaciju trojanca Kazuar, koja se distribuira kroz nepoznati omot pod nazivom Pelmeni.

Turla , skupina za kibernetičku špijunažu APT (Advanced Persistent Threat) povezana s ruskim FSB-om, poznata je po preciznom ciljanju i nepokolebljivom operativnom tempu. Od 2004. Turla se fokusira na vladina tijela, istraživačke ustanove, diplomatske misije i sektore kao što su energija, telekomunikacije i farmaceutski proizvodi na globalnoj razini.

Proučena kampanja naglašava Turlinu sklonost preciznim udarcima. Početna infiltracija vjerojatno se događa kroz prethodne infekcije, nakon čega slijedi implementacija prijetećeg DLL-a zakamufliranog unutar naizgled autentičnih biblioteka iz legitimnih usluga ili proizvoda. Pelmeni Wrapper inicira učitavanje sljedećeg štetnog tereta.

Omot peljmena izvršava nekoliko prijetećih funkcija

Pelmeni Wrapper prikazuje sljedeće funkcije:

• Operativno bilježenje : Generira skrivenu datoteku dnevnika s nasumičnim imenima i ekstenzijama za diskretno praćenje aktivnosti kampanje.
• Isporuka korisnog tereta : koristi prilagođeni mehanizam dešifriranja koji koristi generator pseudoslučajnih brojeva za olakšavanje učitavanja i izvršavanja funkcija.
• Preusmjeravanje tijeka izvršenja : Manipulira nitima procesa i uvodi ubacivanje koda za preusmjeravanje izvršenja na dekriptirani .NET sklop u kojem se nalazi primarni zlonamjerni softver.

Posljednja faza Turlinog zamršenog lanca napada odvija se aktivacijom Kazuara, svestranog trojanskog konja koji je glavna stvar u Turlinom arsenalu od otkopavanja 2017. Istraživači su primijetili suptilne, ali posljedične pomake u Kazuarovom postavljanju, ističući novi protokol za podatke eksfiltracija i odstupanja u imeniku zapisivanja - dovoljna odstupanja za razlikovanje novije varijante od njezinih prethodnika.