Пелмени Враппер

Аналитичари за сајбер безбедност открили су нову Турла кампању која приказује иновативне стратегије и персонализовану адаптацију Тројанца Казуар, дистрибуирану преко непознатог омота по имену Пелмени.

Турла , АПТ (Адванцед Персистент Тхреат) група за сајбер шпијунажу повезана са руским ФСБ-ом, позната је по свом прецизном циљању и непоколебљивом оперативном темпу. Од 2004. године, Турла се фокусирала на владина тела, истраживачке установе, дипломатске мисије и секторе попут енергетике, телекомуникација и фармацеутских производа на глобалном нивоу.

Прегледана кампања наглашава Турлину склоност прецизним ударцима. Иницијална инфилтрација се вероватно дешава путем претходних инфекција, након чега је уследила примена претеће ДЛЛ-а камуфлиране у наизглед аутентичним библиотекама из легитимних услуга или производа. Пелмени Враппер покреће учитавање накнадног штетног корисног терета.

Пелмени омотач извршава неколико претећих функција

Пелмени Враппер приказује следеће функционалности:

• Оперативно евидентирање : генерише скривену датотеку евиденције са насумично одабраним именима и екстензијама за дискретно праћење активности кампање.
• Испорука корисног оптерећења : Користи механизам за дешифровање по мери који користи генератор псеудо-случајних бројева да би се олакшало учитавање и извршавање функција.
• Преусмеравање тока извршења : Манипулише процесним нитима и уводи ињекције кода за преусмеравање извршења на дешифровани .НЕТ склоп у коме се налази примарни малвер.

Последња фаза Турлиног замршеног ланца напада одвија се активацијом Казуара, свестраног тројанског коња који је био главна компонента у Турлином арсеналу од његовог откопавања 2017. Истраживачи су приметили суптилне, али последичне помаке у примени Казуара, истичући нови протокол за податке ексфилтрација и неслагања у именику евиденције – довољна одступања да се новија варијанта разликује од претходника.