水饺皮
网络安全分析师发现了一个新的 Turla 活动,展示了 Kazuar 木马的创新策略和个性化改编,通过一个名为 Pelmeni 的陌生包装进行分发。
Turla是一个与俄罗斯联邦安全局有联系的网络间谍 APT(高级持续威胁)组织,以其细致的目标定位和坚定的行动步伐而闻名。自 2004 年以来,Turla 将目光瞄准了全球范围内的政府机构、研究机构、外交使团以及能源、电信和制药等行业。
经过审查的战役凸显了图拉对精确打击的偏爱。最初的渗透可能是通过先前的感染发生的,然后通过部署伪装在来自合法服务或产品的看似真实的库中的威胁性 DLL 来成功。 Pelmeni Wrapper 启动后续有害有效负载的加载。
水饺包装机执行多种威胁功能
Pelmeni Wrapper 展示了以下功能:
- 操作日志记录:生成具有随机名称和扩展名的隐藏日志文件,以谨慎监控活动活动。
- 有效负载交付:利用定制的解密机制,使用伪随机数生成器来促进加载和执行功能。
- 执行流重定向:操纵进程线程并引入代码注入以将执行重定向到包含主要恶意软件的解密的.NET程序集。
Turla 复杂的攻击链的最后阶段随着 Kazuar 的激活而展开,Kazuar是一种多功能特洛伊木马,自 2017 年被发现以来一直是 Turla 武器库中的主要产品。研究人员观察到 Kazuar 部署中微妙但重要的进展,突出了一种新颖的数据协议日志目录中的渗漏和差异 - 足够的偏差足以将新变体与其前身区分开来。
