រុំ Pelmeni
អ្នកវិភាគសុវត្ថិភាពតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការ Turla ថ្មីដែលបង្ហាញពីយុទ្ធសាស្រ្តច្នៃប្រឌិត និងការសម្របខ្លួនតាមបុគ្គលរបស់ Kazuar Trojan ដែលចែកចាយតាមរយៈក្រដាសរុំដែលមិនធ្លាប់ស្គាល់ឈ្មោះ Pelmeni ។
Turla ដែលជាក្រុមចារកម្មតាមអ៊ីនធឺណិត APT (Advanced Persistent Threat) ដែលភ្ជាប់ទៅនឹង FSB របស់រុស្សី មានភាពល្បីល្បាញដោយសារការកំណត់គោលដៅយ៉ាងម៉ត់ចត់ និងល្បឿនប្រតិបត្តិការដែលមិនផ្លាស់ប្តូរ។ ចាប់តាំងពីឆ្នាំ 2004 មក Turla បានផ្តោតលើស្ថាប័នរដ្ឋាភិបាល ស្ថាប័នស្រាវជ្រាវ បេសកកម្មការទូត និងវិស័យនានាដូចជាថាមពល ទូរគមនាគមន៍ និងឱសថនៅលើមាត្រដ្ឋានពិភពលោក។
យុទ្ធនាការដែលបានពិនិត្យ គូសបញ្ជាក់ចំណាប់អារម្មណ៍របស់ Turla សម្រាប់ការធ្វើកូដកម្មច្បាស់លាស់។ ការជ្រៀតចូលដំបូងទំនងជាកើតឡើងតាមរយៈការឆ្លងពីមុន ដែលបានទទួលជោគជ័យដោយការដាក់ពង្រាយ DLL ដែលគម្រាមកំហែងដោយលាក់បាំងនៅក្នុងបណ្ណាល័យដែលមើលទៅហាក់ដូចជាពិតប្រាកដពីសេវាកម្ម ឬផលិតផលស្របច្បាប់។ Pelmeni Wrapper ផ្តួចផ្តើមការផ្ទុកបន្ទុកដែលបង្កគ្រោះថ្នាក់ជាបន្តបន្ទាប់។
Pelmeni Wrapper ប្រតិបត្តិមុខងារគំរាមកំហែងជាច្រើន។
Pelmeni Wrapper បង្ហាញមុខងារជាបន្តបន្ទាប់៖
- ការកត់ត្រាប្រតិបត្តិការ ៖ បង្កើតឯកសារកំណត់ហេតុដែលលាក់ដោយឈ្មោះ និងផ្នែកបន្ថែមដោយចៃដន្យ ដើម្បីតាមដានសកម្មភាពយុទ្ធនាការដោយសម្ងាត់។
- Payload Delivery ៖ ប្រើប្រាស់យន្តការឌិគ្រីបតាមតម្រូវការដែលប្រើម៉ាស៊ីនបង្កើតលេខចៃដន្យ ដើម្បីជួយសម្រួលដល់ការផ្ទុក និងដំណើរការមុខងារ។
- ការបញ្ជូនបន្តលំហូរប្រតិបត្តិ ៖ រៀបចំដំណើរការខ្សែស្រលាយ និងណែនាំការចាក់កូដ ដើម្បីប្តូរទិសប្រតិបត្តិទៅការជួបប្រជុំគ្នា .NET ដែលបានឌិគ្រីបដែលផ្ទុកមេរោគចម្បង។
ដំណាក់កាលចុងក្រោយនៃខ្សែសង្វាក់វាយប្រហារដ៏ស្មុគស្មាញរបស់ Turla លាតត្រដាងជាមួយនឹងការធ្វើឱ្យសកម្មរបស់ Kazuar ដែល ជាសេះ Trojan ដែលអាចប្រើប្រាស់បានដែលបានក្លាយជាសំខាន់នៅក្នុងឃ្លាំងអាវុធរបស់ Turla ចាប់តាំងពីការរកឃើញរបស់វាក្នុងឆ្នាំ 2017 ។ អ្នកស្រាវជ្រាវបានសង្កេតឃើញពីភាពជឿនលឿនជាបន្តបន្ទាប់នៅក្នុងការដាក់ពង្រាយរបស់ Kazuar ដោយរំលេចនូវទិន្នន័យប្រលោមលោក។ ការច្រានចេញ និងភាពមិនស្របគ្នានៅក្នុងថតកំណត់ហេតុ - គម្លាតគ្រប់គ្រាន់ដើម្បីសម្គាល់វ៉ារ្យ៉ង់ថ្មីជាងពីជំនាន់មុនរបស់វា។
