Pelmēņu iesaiņojums

Kiberdrošības analītiķi ir atklājuši jaunu Turla kampaņu, kas demonstrē novatoriskas stratēģijas un personalizētu Kazuar Trojas zirga adaptāciju, kas tiek izplatīta, izmantojot nepazīstamu iesaiņojumu ar nosaukumu Pelmeni.

Turla , kiberspiegošanas APT (Advanced Persistent Threat) grupa, kas saistīta ar Krievijas FSB, ir slavena ar savu rūpīgo mērķēšanu un nelokāmo darbības tempu. Kopš 2004. gada Turla ir pievērsusies valsts iestādēm, pētniecības iestādēm, diplomātiskajām pārstāvniecībām un tādām nozarēm kā enerģētika, telekomunikācijas un farmācija globālā mērogā.

Pārbaudītā kampaņa uzsver Turlas tieksmi pēc precīziem sitieniem. Sākotnējā infiltrācija, iespējams, notiek ar iepriekšēju inficēšanos, kam seko draudoša DLL izvietošana, kas ir maskēta šķietami autentiskās bibliotēkās no likumīgiem pakalpojumiem vai produktiem. Pelmeni Wrapper sāk nākamās kaitīgās kravas ielādi.

Pelmeņu iesaiņojums veic vairākas bīstamas funkcijas

Pelmeni Wrapper demonstrē turpmākās funkcijas:

• Operatīvā reģistrēšana : ģenerē slēptu žurnāla failu ar nejaušiem nosaukumiem un paplašinājumiem, lai diskrēti pārraudzītu kampaņas darbības.
• Kravas piegāde : izmanto pielāgotu atšifrēšanas mehānismu, izmantojot pseidogadījuma skaitļu ģeneratoru, lai atvieglotu ielādi un funkciju izpildi.
• Izpildes plūsmas novirzīšana : manipulē ar procesa pavedieniem un ievada kodu, lai novirzītu izpildi uz atšifrētu .NET komplektu, kurā atrodas primārā ļaunprogrammatūra.

Turlas sarežģītās uzbrukuma ķēdes pēdējais posms izvēršas, aktivizējot Kazuar — daudzpusīgo Trojas zirgu, kas ir bijis Turlas arsenāla pamatelements kopš tā atklāšanas 2017. gadā. Pētnieki ir novērojuši smalkus, taču nozīmīgus uzlabojumus Kazuara izvietošanā, izceļot jaunu datu protokolu. eksfiltrācija un neatbilstības reģistrēšanas direktorijā - pietiekamas novirzes, lai atšķirtu jaunāko variantu no tā priekšgājējiem.