ペリメニ ラッパー: Turla's Arsenal のもう 1 つのツール
Lab52 が実施した調査により、Kazuar トロイの木馬のカスタマイズされたバージョンとともに、革新的な戦略を採用した新しい Turla キャンペーンが明らかになりました。彼らの分析は、キャンペーンのアプローチの技術的側面を掘り下げ、防御戦略を強化するための侵害の指標 (IOC) を提供します。
Turla は、ロシア連邦保安局と関係があると考えられているサイバースパイ集団で、その正確な標的設定と持続的な作戦テンポで知られています。 Turla は少なくとも 2004 年から活動しており、主に政府機関、研究施設、大使館に加え、世界中のエネルギー、電気通信、製薬に及ぶ業界をターゲットにしています。
問題のキャンペーンは、Turla が正確なターゲティングを重視していることを示しています。この問題は、一見正当なライブラリ (SkyTel、NVIDIA など) 内に悪意のある DLL が隠蔽され、以前の感染によって開始された可能性があります。 「Pelmeni ラッパー」と呼ばれるこの DLL は、次の段階のペイロードを開始します。
Pelmeni ラッパーには次の機能が組み込まれています。
操作ログ:キャンペーン活動を監視するために、ランダム化された名前と拡張子を持つ隠蔽ログ ファイルを生成します。
ペイロード配信:擬似乱数ジェネレーターを活用したカスタマイズされた復号化手法を利用して、関数のロードと実行を容易にします。
実行フローのリダイレクト:プロセス スレッドを操作し、コア マルウェアを格納する復号化された .NET アセンブリに実行をリダイレクトするコードを挿入します。
Turla の複雑な戦略の頂点は、2017 年の発見以来 Turla の武器庫の主力となっている多用途のトロイの木馬、Kazuar の展開で頂点に達します。Lab52 の分析では、新しいデータ抽出プロトコルや改ざんなど、Kazuar の展開における微妙だが注目に値する進歩が明らかになりました。ロギング ディレクトリ内 - このサンプルを以前のサンプルと区別するバリエーションです。
抽出された .NET アセンブリは、Kazuar トロイの木馬の修正バージョンを表します。以前に分析した反復と比較した主な相違点は次のとおりです。
拡張された抽出プロトコル:ソケットベースの抽出の組み込みにより、通信におけるマルウェアの適応性が強化されます。
変更されたログ ストレージ:ログ ディレクトリの再配置は、このキャンペーンに固有のカスタマイズを示します。
この調査は、Turla の進化する戦術と、Kazuar トロイの木馬の継続的な利用についての洞察を提供します。高度持続型脅威 (APT) が進化するにつれて、プロアクティブな防御にはその方法論を理解することが依然として不可欠です。脅威インテリジェンスと継続的な警戒を統合することで、組織はこの高度な脅威アクターによってもたらされるリスクを軽減できます。