Pelmeni csomagolóanyag

A kiberbiztonsági elemzők egy új Turla kampányt tártak fel, amely innovatív stratégiákat és a Kazuar trójai személyre szabott adaptációját mutatja be, egy ismeretlen Pelmeni nevű csomagolóanyagon keresztül.

A Turla , az orosz FSZB-hez köthető kiberkémkedési APT (Advanced Persistent Threat) csoport, híres aprólékos célzásáról és rendíthetetlen működési tempójáról. 2004 óta a Turla a kormányzati szerveket, a kutatóintézeteket, a diplomáciai képviseleteket és az olyan ágazatokat, mint az energia, a távközlés és a gyógyszeripar globális szinten nullázza ki.

A vizsgált kampány rávilágít Turla precíz ütésekre való hajlamára. A kezdeti beszivárgás valószínűleg korábbi fertőzéseken keresztül következik be, amelyet egy fenyegető DLL telepítése követ, amelyet a látszólag hiteles könyvtárakba álcáztak a legitim szolgáltatásokból vagy termékekből. A Pelmeni Wrapper elindítja a későbbi káros rakomány betöltését.

A Pelmeni-csomagoló számos fenyegető funkciót hajt végre

A Pelmeni Wrapper a következő funkciókat mutatja be:

• Működési naplózás : Rejtett naplófájlt generál véletlenszerű nevekkel és kiterjesztésekkel a kampánytevékenységek diszkrét nyomon követéséhez.
• Payload Delivery : Egy testreszabott visszafejtési mechanizmust használ, amely pszeudo-véletlenszám-generátort alkalmaz, hogy megkönnyítse a betöltést és a funkciók végrehajtását.
• Végrehajtási folyamat átirányítása : Manipulálja a folyamatszálakat, és kódbefecskendezést vezet be, hogy a végrehajtást az elsődleges rosszindulatú programot tartalmazó, dekódolt .NET-összeállításra irányítsa át.

A Turla bonyolult támadási láncának utolsó szakasza a Kazuar aktiválásával bontakozik ki, egy sokoldalú trójai faló, amely 2017-es feltárása óta a Turla arzenáljának alapeleme. A kutatók finom, de következményes előrelépéseket figyeltek meg a Kazuar bevetésében, kiemelve az adatok új protokollját. kiszűrés és eltérések a naplózási könyvtárban – elegendő eltérés ahhoz, hogy megkülönböztesse az újabb változatot elődeitől.