ペリメニラッパー

サイバーセキュリティ アナリストは、Pelmeni という名前の見慣れないラッパーを通じて配布された、革新的な戦略と、Kazuar トロイの木馬のパーソナライズされた適応を紹介する新たな Turla キャンペーンを発見しました。

Turlaは、ロシア連邦保安局と連携したサイバースパイ活動 APT (Advanced Persistent Threat) グループで、その細心の標的設定と揺るぎない作戦ペースで知られています。 2004 年以来、トゥルラは世界規模の政府機関、研究機関、外交使節、エネルギー、電気通信、製薬などの分野に焦点を当ててきました。

検証されたキャンペーンは、トゥルラの正確な攻撃への傾向を強調しています。最初の侵入はおそらく以前の感染によって起こり、正規のサービスまたは製品からの一見本物に見えるライブラリ内に偽装された脅威的な DLL の展開によって成功します。 Pelmeni Wrapper は、後続の有害なペイロードの読み込みを開始します。

Pelmeni ラッパーはいくつかの脅威的な機能を実行します

Pelmeni ラッパーは、その後の機能を紹介します。

• 操作ログ: キャンペーン活動を慎重に監視するために、ランダムな名前と拡張子を持つ隠蔽ログ ファイルを生成します。
• ペイロード配信: 擬似乱数ジェネレーターを使用した特注の復号化メカニズムを利用して、関数のロードと実行を容易にします。
• 実行フローのリダイレクト: プロセス スレッドを操作し、コード インジェクションを導入して、主要なマルウェアが格納されている復号化された .NET アセンブリに実行をリダイレクトします。

Turla の複雑な攻撃チェーンの最終段階は、 2017 年に発見されて以来、Turla の武器庫の定番となっている多用途のトロイの木馬、Kazuar の起動によって展開します。研究者らは、Kazuar の展開における微妙ではあるが重要な進歩を観察し、新しいデータ プロトコルを明らかにしています。ログディレクトリ内の漏洩と不一致 - 新しい亜種と以前の亜種を区別するのに十分な逸脱。