पेल्मेनी र्यापर
साइबरसुरक्षा विश्लेषकहरूले नयाँ टुर्ला अभियान पत्ता लगाएका छन् जसमा नवीन रणनीतिहरू र काजुआर ट्रोजनको व्यक्तिगत रूपान्तरण प्रदर्शन गरिएको छ, पेल्मेनी नामको अपरिचित र्यापर मार्फत वितरण गरिएको छ।
Turla , एक साइबर जासूसी APT (उन्नत पर्सिस्टेन्ट थ्रेट) रूसी FSB सँग जोडिएको समूह, यसको सावधानीपूर्वक लक्ष्यीकरण र अटुट परिचालन गतिको लागि प्रख्यात छ। 2004 देखि, टुर्लाले सरकारी निकायहरू, अनुसन्धान प्रतिष्ठानहरू, कूटनीतिक नियोगहरू, र ऊर्जा, दूरसञ्चार र औषधि जस्ता क्षेत्रहरूमा विश्वव्यापी स्तरमा शून्यता देखाएको छ।
परिक्षण गरिएको अभियानले सटीक स्ट्राइकहरूका लागि टुर्लाको रुचिलाई जोड दिन्छ। प्रारम्भिक घुसपैठ सम्भवतः पहिलेको संक्रमणहरू मार्फत हुन्छ, वैध सेवाहरू वा उत्पादनहरूबाट देखिने प्रामाणिक पुस्तकालयहरू भित्र धम्की दिने DLL को प्रयोग गरेर सफल हुन्छ। Pelmeni र्यापरले पछिको हानिकारक पेलोडको लोडिङ सुरु गर्छ।
पेल्मेनी र्यापरले धेरै धम्की दिने कार्यहरू कार्यान्वयन गर्दछ
Pelmeni र्यापरले पछिका कार्यक्षमताहरू प्रदर्शन गर्दछ:
- अपरेशनल लगिङ : अभियान गतिविधिहरूलाई सावधानीपूर्वक निगरानी गर्न अनियमित नामहरू र विस्तारहरूसँग लुकाइएको लग फाइल उत्पन्न गर्दछ।
- पेलोड डेलिभरी : लोडिङ र कार्यान्वयनलाई सहज बनाउनको लागि स्यूडो-अनियमित नम्बर जनरेटर प्रयोग गरी बेस्पोक डिक्रिप्शन मेकानिजमको प्रयोग गर्दछ।
- कार्यान्वयन प्रवाह पुनर्निर्देशन : प्रक्रिया थ्रेडहरू हेरफेर गर्दछ र डिक्रिप्टेड .NET असेंबलीमा प्राथमिक मालवेयरको आवासमा कार्यान्वयन पुन: निर्देशित गर्न कोड इन्जेक्सनहरू प्रस्तुत गर्दछ।
Turla को जटिल आक्रमण श्रृंखला को अन्तिम चरण Kazuar को सक्रियता संग प्रकट हुन्छ, एक बहुमुखी ट्रोजन घोडा जुन 2017 मा पत्ता लगाए पछि टुर्ला को शस्त्रागार मा एक स्टपल भएको छ। अन्वेषकहरूले Kazuar को तैनाती मा सूक्ष्म तर परिणामात्मक प्रगति देखेका छन्, एक उपन्यास प्रोटोकल को लागि हाइलाइट गर्दै। लगिङ डाइरेक्टरीमा exfiltration र विसंगतिहरू - नयाँ संस्करणलाई यसको पूर्ववर्तीहरूबाट छुट्याउन पर्याप्त विचलनहरू।
