غلاف بيلميني
اكتشف محللو الأمن السيبراني حملة Turla جديدة تعرض استراتيجيات مبتكرة وتعديلًا شخصيًا لفيروس Kazuar Trojan، الذي تم توزيعه من خلال غلاف غير مألوف يُسمى Pelmeni.
تشتهر مجموعة Turla ، وهي مجموعة للتجسس الإلكتروني APT (التهديدات المستمرة المتقدمة) المرتبطة بجهاز FSB الروسي، باستهدافها الدقيق ووتيرة عملياتها التي لا تتزعزع. منذ عام 2004، ركزت شركة Turla على الهيئات الحكومية والمؤسسات البحثية والبعثات الدبلوماسية وقطاعات مثل الطاقة والاتصالات والأدوية على نطاق عالمي.
تؤكد الحملة التي تم فحصها ولع تورلا بالضربات الدقيقة. من المحتمل أن يحدث التسلل الأولي من خلال إصابات سابقة، وقد نجح ذلك من خلال نشر ملف DLL تهديدي مموه داخل مكتبات تبدو أصلية من الخدمات أو المنتجات المشروعة. يبدأ غلاف Pelmeni في تحميل الحمولة الضارة اللاحقة.
يقوم غلاف Pelmeni بتنفيذ العديد من وظائف التهديد
يعرض غلاف Pelmeni الوظائف التالية:
- تسجيل العمليات : يُنشئ ملف سجل مخفي بأسماء وامتدادات عشوائية لمراقبة أنشطة الحملة بسرية.
- تسليم الحمولة : يستخدم آلية فك تشفير مخصصة تستخدم مولد أرقام عشوائية زائفة لتسهيل تحميل الوظائف وتنفيذها.
- إعادة توجيه تدفق التنفيذ : يعالج سلاسل العمليات ويقدم عمليات حقن التعليمات البرمجية لإعادة توجيه التنفيذ إلى مجموعة .NET التي تم فك تشفيرها والتي تحتوي على البرامج الضارة الأساسية.
تتكشف المرحلة الأخيرة من سلسلة هجمات Turla المعقدة مع تنشيط Kazuar، وهو حصان طروادة متعدد الاستخدامات والذي كان عنصرًا أساسيًا في ترسانة Turla منذ اكتشافه في عام 2017. وقد لاحظ الباحثون تطورات دقيقة ولكنها مهمة في نشر Kazuar، مما يسلط الضوء على بروتوكول جديد للبيانات الترشيح والتناقضات في دليل التسجيل - انحرافات كافية لتمييز المتغير الأحدث عن سابقاته.
