Pelmeni Wrapper: Egy másik eszköz Turla Arzenáljában
A Lab52 által végzett kutatás egy új Turla kampányt tárt fel, amely innovatív stratégiákat alkalmaz a Kazuar trójai testreszabott változata mellett. Elemzésük a kampány megközelítésének technikai vonatkozásaiba nyúlik bele, és kompromisszummutatókat (IOC) szolgáltat a védekező stratégiák javítása érdekében.
A Turla, egy internetes kémcsoport, amelyről úgy tartják, hogy kapcsolatban állnak az orosz FSZB-vel, pontos célzásáról és tartós működési tempójáról híres. A legalább 2004 óta működő Turla elsősorban a kormányzati szerveket, kutatóintézeteket, nagykövetségeket, valamint az energetikai, távközlési és gyógyszeripari ágazatokat célozza meg világszerte.
A szóban forgó kampány jól szemlélteti, hogy Turla a pontos célzásra helyezi a hangsúlyt. Valószínűleg korábbi fertőzések okozták, és a látszólag legitim könyvtárakban (például SkyTel, NVIDIA stb.) egy rosszindulatú DLL rejtőzik. A „Pelmeni Wrapper” néven hivatkozva ez a DLL kezdeményezi a következő szakasz hasznos terhelését.
A Pelmeni Wrapper a következő funkciókat tartalmazza:
Működési naplózás: Rejtett naplófájlt generál véletlenszerű nevekkel és kiterjesztésekkel a kampánytevékenységek figyeléséhez.
Payload Delivery: Egy testreszabott visszafejtési technikát használ egy pszeudovéletlen számgenerátor segítségével, hogy megkönnyítse a funkciók betöltését és végrehajtását.
Végrehajtási folyamat átirányítása: Manipulálja a folyamatszálakat, és kódot szúr be, hogy a végrehajtást átirányítsa egy dekódolt .NET-szerelvényre, amely tartalmazza a rosszindulatú szoftvert.
A Turla bonyolult stratégiájának csúcsa a Kazuar, egy sokoldalú trójai faló bevetésével csúcsosodik ki, amely 2017-es felfedezése óta a Turla arzenáljának egyik fő pillére. A Lab52 elemzése rávilágít a Kazuar alkalmazásának finom, de figyelemre méltó előrelépéseire, beleértve az új adatkiszűrési protokollt és az alterációs protokollt. a naplózási könyvtárban – olyan változatok, amelyek megkülönböztetik ezt a mintát elődeitől.
A kibontott .NET-összeállítás a Kazuar trójai módosított változatát képviseli. A főbb eltérések a korábban elemzett iterációkhoz képest a következők:
Kibővített kiszűrési protokoll: A socket alapú kiszűrés beépítése javítja a rosszindulatú programok kommunikációs alkalmazkodóképességét.
Módosított naplótároló: A naplókönyvtár áthelyezése a kampányra jellemző testreszabást jelzi.
Ez a kutatás betekintést nyújt a Turla fejlődő taktikájába és a Kazuar trójai folyamatos használatába. Ahogy a fejlett tartós fenyegetések (APT) fejlődnek, módszereik megértése továbbra is elengedhetetlen a proaktív védekezéshez. A fenyegetési hírszerzés és a folyamatos éberség integrálása révén a szervezetek mérsékelhetik e kifinomult fenyegetési szereplő által jelentett kockázatokat.