餃子皮：圖拉軍火庫中的另一個工具

Lab52 進行的研究揭示了一種新的 Turla 活動，該活動採用創新策略以及 Kazuar 木馬的定製版本。他們的分析深入研究了競選方法的技術方面，並提供了妥協指標（IOC）以增強防禦策略。

據信與俄羅斯聯邦安全局有聯繫的網路間諜組織 Turla 以其精確的目標定位和持續的行動節奏而聞名。 Turla 至少自 2004 年開始運營，主要針對全球政府機構、研究機構、大使館以及能源、電信和製藥等行業。

此次活動體現了 Turla 對精確定位的重視。它很可能是透過先前的感染發起的，惡意 DLL 隱藏在看似合法的庫（例如 SkyTel、NVIDIA 等）中。該 DLL 被稱為“Pelmeni Wrapper”，啟動下一階段的有效負載。

Pelmeni Wrapper 具有以下功能：

操作日誌記錄：產生具有隨機名稱和擴展名的隱藏日誌文件，以監視活動活動。
有效負載交付：利用客製化的解密技術，利用偽隨機數產生器來促進函數載入和執行。
執行流程重定向：操縱進程執行緒並插入程式碼以將執行重定向到包含核心惡意軟體的解密的 .NET 組件。

Turla 複雜策略的頂峰隨著Kazuar 的部署而達到頂峰，Kazuar 是一種多功能特洛伊木馬，自2017 年發現以來一直是Turla 武器庫的中流砥柱。Lab52 的分析強調了Kazuar 部署中微妙但值得注意的進步，包括新的資料外洩協定和變更在日誌記錄目錄中 - 將此範例與其前身區分開來的變體。

提取的 .NET 程式集代表 Kazuar 木馬的修改版本。與先前分析的迭代相比，主要差異包括：

擴展的滲透協定：基於套接字的滲透的結合增強了惡意軟體的通訊適應性。
修改日誌儲存：日誌目錄的重新定位表示針對此活動的客製化。

這項研究深入了解了 Turla 不斷演變的策略以及他們對 Kazuar 木馬的持續利用。隨著進階持續性威脅 (APT) 的發展，理解其方法對於主動防禦仍然至關重要。透過威脅情報和持續警覺的結合，組織可以減輕這種複雜的威脅行為者所帶來的風險。