饺子皮:图拉军火库中的另一个工具
Lab52 进行的研究揭示了一种新的 Turla 活动,该活动采用创新策略以及 Kazuar 木马的定制版本。他们的分析深入研究了竞选方法的技术方面,并提供了妥协指标(IOC)以增强防御策略。
据信与俄罗斯联邦安全局有联系的网络间谍组织 Turla 以其精确的目标定位和持续的行动节奏而闻名。 Turla 至少自 2004 年开始运营,主要针对全球政府机构、研究机构、大使馆以及能源、电信和制药等行业。
此次活动体现了 Turla 对精确定位的重视。它很可能是通过之前的感染发起的,恶意 DLL 隐藏在看似合法的库(例如 SkyTel、NVIDIA 等)中。该 DLL 被称为“Pelmeni Wrapper”,启动下一阶段的有效负载。
Pelmeni Wrapper 具有以下功能:
操作日志记录:生成具有随机名称和扩展名的隐藏日志文件,以监视活动活动。
有效负载交付:利用定制的解密技术,利用伪随机数生成器来促进函数加载和执行。
执行流重定向:操纵进程线程并插入代码以将执行重定向到包含核心恶意软件的解密的 .NET 程序集。
Turla 复杂策略的顶峰随着 Kazuar 的部署而达到顶峰,Kazuar 是一种多功能特洛伊木马,自 2017 年发现以来一直是 Turla 武器库的中流砥柱。Lab52 的分析强调了 Kazuar 部署中微妙但值得注意的进步,包括新的数据泄露协议和变更在日志记录目录中 - 将此示例与其前身区别开来的变体。
提取的 .NET 程序集代表 Kazuar 木马的修改版本。与之前分析的迭代相比,主要差异包括:
扩展的渗透协议:基于套接字的渗透的结合增强了恶意软件的通信适应性。
修改日志存储:日志目录的重新定位表示针对此活动的定制。
这项研究深入了解了 Turla 不断演变的策略以及他们对 Kazuar 木马的持续利用。随着高级持续威胁 (APT) 的发展,理解其方法对于主动防御仍然至关重要。通过威胁情报和持续警惕的结合,组织可以减轻这种复杂的威胁行为者带来的风险。