水餃皮
網路安全分析師發現了一個新的 Turla 活動,展示了 Kazuar 木馬的創新策略和個人化改編,透過一個名為 Pelmeni 的陌生包裝進行分發。
Turla是一個與俄羅斯聯邦安全局有聯繫的網路間諜 APT(高級持續威脅)組織,以其細緻的目標定位和堅定的行動步伐而聞名。自 2004 年以來,Turla 將目光瞄準了全球範圍內的政府機構、研究機構、外交使團以及能源、電信和製藥等產業。
經過審查的戰役凸顯了圖拉對精確打擊的偏好。最初的滲透可能是透過先前的感染發生的,然後透過部署偽裝在來自合法服務或產品的看似真實的庫中的威脅性 DLL 來成功。 Pelmeni Wrapper 啟動後續有害有效負載的載入。
水餃包裝機執行多種威脅功能
Pelmeni Wrapper 展示了以下功能:
- 操作日誌記錄:產生具有隨機名稱和擴展名的隱藏日誌文件,以謹慎監控活動活動。
- 有效負載交付:利用客製化的解密機制,使用偽隨機數產生器來促進載入和執行功能。
- 執行流程重定向:操縱進程執行緒並引入程式碼注入以將執行重定向到包含主要惡意軟體的解密的.NET程式集。
Turla 複雜的攻擊鏈的最後階段隨著 Kazuar 的激活而展開,Kazuar是一種多功能特洛伊木馬,自2017 年被發現以來一直是Turla 武器庫中的主要產品。研究人員觀察到Kazuar 部署中微妙但重要的進展,突出了一種新穎的數據協議日誌目錄中的滲漏和差異 - 足夠的偏差足以將新變體與其前身區分開來。
