Bánh bao Pelmeni

Các nhà phân tích an ninh mạng đã phát hiện ra một chiến dịch Turla mới giới thiệu các chiến lược sáng tạo và bản chuyển thể được cá nhân hóa của Trojan Kazuar, được phân phối thông qua một trình bao bọc lạ tên là Pelmeni.

Turla , một nhóm gián điệp mạng APT (Mối đe dọa liên tục nâng cao) có liên kết với FSB của Nga, nổi tiếng với khả năng nhắm mục tiêu tỉ mỉ và tốc độ hoạt động ổn định. Kể từ năm 2004, Turla đã tập trung vào các cơ quan chính phủ, cơ sở nghiên cứu, cơ quan ngoại giao và các lĩnh vực như năng lượng, viễn thông và dược phẩm trên phạm vi toàn cầu.

Chiến dịch được kiểm tra nhấn mạnh thiên hướng tấn công chính xác của Turla. Sự xâm nhập ban đầu có thể xảy ra thông qua các lần lây nhiễm trước đó, thành công bằng việc triển khai một DLL đe dọa được ngụy trang trong các thư viện có vẻ xác thực từ các dịch vụ hoặc sản phẩm hợp pháp. Pelmeni Wrapper bắt đầu tải trọng tải có hại tiếp theo.

Trình bao bọc Pelmeni thực hiện một số chức năng đe dọa

Pelmeni Wrapper giới thiệu các chức năng sau:

• Ghi nhật ký hoạt động : Tạo tệp nhật ký ẩn với tên và tiện ích mở rộng ngẫu nhiên để giám sát các hoạt động chiến dịch một cách kín đáo.
• Phân phối tải trọng : Sử dụng cơ chế giải mã riêng sử dụng bộ tạo số giả ngẫu nhiên để tạo điều kiện tải và thực thi các chức năng.
• Chuyển hướng luồng thực thi : Thao tác các luồng quy trình và đưa mã vào để chuyển hướng thực thi sang một tập hợp .NET được giải mã chứa phần mềm độc hại chính.

Giai đoạn cuối cùng trong chuỗi tấn công phức tạp của Turla mở ra với việc kích hoạt Kazuar, một con ngựa thành Troy đa năng vốn là thành phần chính trong kho vũ khí của Turla kể từ khi nó được khai quật vào năm 2017. Các nhà nghiên cứu đã quan sát thấy những tiến bộ tinh tế nhưng mang lại hậu quả trong quá trình triển khai Kazuar, nêu bật một giao thức mới cho dữ liệu sự lọc và sự khác biệt trong thư mục ghi nhật ký - độ lệch đủ để phân biệt biến thể mới hơn với biến thể trước đó.