Pelmeni įvynioklis

Kibernetinio saugumo analitikai atskleidė naują „Turla“ kampaniją, kurioje pristatomos naujoviškos strategijos ir personalizuotas Kazuar Trojos arklys, platinamas per nepažįstamą įpakavimą, pavadintą Pelmeni.

Turla , kibernetinio šnipinėjimo APT (Advanced Persistent Threat) grupė, susijusi su Rusijos FSB, garsėja savo kruopščiu taikymu ir nepajudinamu veiklos tempu. Nuo 2004 m. Turla pasauliniu mastu sutelkė dėmesį į vyriausybines institucijas, mokslinių tyrimų įstaigas, diplomatines atstovybes ir tokius sektorius kaip energetika, telekomunikacijos ir farmacija.

Išnagrinėta kampanija pabrėžia Turlos polinkį tiksliai smūgiuoti. Tikėtina, kad pradinis įsiskverbimas įvyksta dėl ankstesnių užkrėtimų, o vėliau įdiegus grėsmingą DLL, užmaskuotą iš pažiūros autentiškose bibliotekose iš teisėtų paslaugų ar produktų. „Pelmeni Wrapper“ inicijuoja vėlesnės kenksmingos naudingosios apkrovos pakrovimą.

Pelmeni įvynioklis atlieka keletą grėsmingų funkcijų

„Pelmeni Wrapper“ demonstruoja šias funkcijas:

• Operatyvinis registravimas : generuoja paslėptą žurnalo failą su atsitiktiniais pavadinimais ir plėtiniais, kad būtų galima diskretiškai stebėti kampanijos veiklą.
• Naudingojo krovinio pristatymas : Naudojamas pagal užsakymą sukurtas iššifravimo mechanizmas, kuriame naudojamas pseudoatsitiktinių skaičių generatorius, kad būtų lengviau įkelti ir vykdyti funkcijas.
• Vykdymo srauto peradresavimas : manipuliuoja proceso gijomis ir įveda kodo injekcijas, kad nukreiptų vykdymą į iššifruotą .NET rinkinį, kuriame yra pagrindinė kenkėjiška programa.

Paskutinis sudėtingos Turlos atakų grandinės etapas prasideda aktyvavus Kazuarą – universalų Trojos arklį, kuris buvo pagrindinis Turlos arsenalo elementas nuo pat jo atradimo 2017 m. Tyrėjai pastebėjo subtilius, tačiau reikšmingus Kazuaro dislokavimo pažangą, pabrėždami naują duomenų protokolą. eksfiltracija ir neatitikimai registravimo kataloge – pakankamai nukrypimų, kad būtų galima atskirti naujesnį variantą nuo pirmtakų.