Pelmeni įvynioklis: dar vienas įrankis Turlos arsenale

Lab52 atliktas tyrimas atskleidė naują Turla kampaniją, kurioje naudojamos naujoviškos strategijos kartu su pritaikyta Trojos arklys Kazuar versija. Jų analizėje gilinamasi į techninius kampanijos metodo aspektus ir pateikiami kompromiso rodikliai (IOC), siekiant sustiprinti gynybines strategijas.

„Turla“, kibernetinio šnipinėjimo grupuotė, kuri, kaip manoma, turi ryšių su Rusijos FSB, garsėja tiksliu taikiniu ir nuolatiniu veiklos tempu. „Turla“, veikianti mažiausiai nuo 2004 m., visų pirma skirta vyriausybinėms įstaigoms, mokslinių tyrimų įstaigoms, ambasadams, taip pat energetikos, telekomunikacijų ir farmacijos pramonės šakoms visame pasaulyje.

Aptariama kampanija iliustruoja, kaip „Turla“ akcentuoja tikslų taikymą. Tikėtina, kad jį sukėlė ankstesnė infekcija, kai iš pažiūros teisėtose bibliotekose (pvz., SkyTel, NVIDIA ir kt.) paslėptas kenkėjiškas DLL. Šis DLL, vadinamas „Pelmeni Wrapper“, inicijuoja kito etapo naudingąją apkrovą.

Pelmeni Wrapper turi šias funkcijas:

Operatyvinis registravimas: generuoja paslėptą žurnalo failą su atsitiktiniais pavadinimais ir plėtiniais, kad būtų galima stebėti kampanijos veiklą.
Naudingojo krovinio pristatymas: Naudoja pritaikytą iššifravimo techniką, pasitelkdama pseudoatsitiktinių skaičių generatorių, kad palengvintų funkcijų įkėlimą ir vykdymą.
Vykdymo srauto peradresavimas: manipuliuoja proceso gijomis ir įterpia kodą, kad nukreiptų vykdymą į iššifruotą .NET rinkinį, kuriame yra pagrindinė kenkėjiška programa.

Sudėtingos Turlos strategijos viršūnė baigiasi Kazuar, universalaus Trojos arklys, kuris buvo pagrindinis Turlos arsenale nuo pat atradimo 2017 m., dislokavimas. Lab52 analizė pabrėžia subtilius, tačiau vertus Kazuar diegimo pažangos, įskaitant naują duomenų išskyrimo protokolą ir alteracijos protokolą. registravimo kataloge – variantai, išskiriantys šį pavyzdį nuo jo pirmtakų.

Ištrauktas .NET rinkinys yra modifikuota Trojos arklys Kazuar versija. Pagrindiniai neatitikimai, palyginti su anksčiau analizuotomis iteracijomis, yra šie:

Išplėstinis išfiltravimo protokolas: įtraukus į lizdą pagrįstą eksfiltraciją, padidėja kenkėjiškų programų prisitaikymas bendraujant.
Modifikuota žurnalo saugykla: žurnalo katalogo perkėlimas rodo specifinį šios kampanijos pritaikymą.

Šis tyrimas suteikia įžvalgų apie besikeičiančią Turla taktiką ir nuolatinį Trojos arklys Kazuar naudojimą. Tobulėjant pažangiosioms nuolatinėms grėsmėms (APT), norint aktyviai gintis, būtina suprasti jų metodikas. Integruodamos grėsmių žvalgybą ir nuolatinį budrumą, organizacijos gali sumažinti šio sudėtingo grėsmės veikėjo keliamą riziką.