펠메니 래퍼

사이버 보안 분석가들은 혁신적인 전략과 Pelmeni라는 생소한 래퍼를 통해 배포되는 Kazuar Trojan의 개인화된 적응을 보여주는 새로운 Turla 캠페인을 발견했습니다.

러시아 FSB와 연계된 사이버 간첩 APT(Advanced Persistent Threat) 그룹인 Turla 는 꼼꼼한 타겟팅과 흔들리지 않는 작전 속도로 유명합니다. 2004년부터 Turla는 전 세계적으로 정부 기관, 연구 기관, 외교 사절단 및 에너지, 통신, 제약과 같은 분야에 집중해 왔습니다.

조사된 캠페인은 정확한 공격에 대한 Turla의 성향을 강조합니다. 초기 침입은 이전 감염을 통해 발생할 가능성이 높으며, 합법적인 서비스나 제품의 겉으로 보기에 인증된 라이브러리 내에 위장된 위협적인 DLL을 배포함으로써 성공합니다. Pelmeni Wrapper는 후속 유해 페이로드의 로드를 시작합니다.

Pelmeni 래퍼는 여러 위협 기능을 실행합니다.

Pelmeni Wrapper는 다음 기능을 보여줍니다.

• 운영 로깅 : 캠페인 활동을 은밀하게 모니터링하기 위해 무작위 이름과 확장명이 포함된 숨겨진 로그 파일을 생성합니다.
• 페이로드 전달 : 의사 난수 생성기를 사용하는 맞춤형 암호 해독 메커니즘을 활용하여 기능 로드 및 실행을 용이하게 합니다.
• 실행 흐름 리디렉션 : 프로세스 스레드를 조작하고 코드 주입을 도입하여 기본 악성 코드가 들어 있는 해독된 .NET 어셈블리로 실행을 리디렉션합니다.

Turla의 복잡한 공격 체인의 마지막 단계는 2017년에 발굴된 이후 Turla의 무기고에서 주요 요소였던 다재다능한 트로이 목마인 Kazuar 의 활성화로 전개됩니다. 연구원들은 Kazuar의 배포에서 미묘하면서도 결과적인 발전을 관찰했으며 데이터에 대한 새로운 프로토콜을 강조했습니다. 로깅 디렉터리의 유출 및 불일치 - 최신 변종과 이전 변종을 구별하기에 충분한 편차입니다.