עטיפה של פלמני
אנליסטים של אבטחת סייבר חשפו מסע פרסום חדש של Turla המציג אסטרטגיות חדשניות והתאמה אישית של הקזואר הטרויאני, המופץ באמצעות מעטפת לא מוכרת בשם פלמני.
Turla , קבוצת ריגול סייבר APT (Advanced Persistent Threat) המקושרת ל-FSB הרוסי, ידועה במיקוד המוקפד שלה ובקצב הפעולה הבלתי מעורער שלה. מאז 2004, טורלה התעסקה עם גופים ממשלתיים, מפעלי מחקר, נציגויות דיפלומטיות ומגזרים כמו אנרגיה, טלקומוניקציה ותרופות בקנה מידה עולמי.
הקמפיין הנבדק מדגיש את נטייתו של טורלה למכות מדויקות. הסתננות ראשונית מתרחשת ככל הנראה באמצעות זיהומים קודמים, לאחר פריסה של DLL מאיים מוסווה בתוך ספריות אותנטיות לכאורה משירותים או מוצרים לגיטימיים. ה-Pelmeni Wrapper יוזם את העמסת המטען המזיק הבא.
העטיפה של פלמני מבצעת מספר פונקציות מאיימות
העטיפה של Pelmeni מציגה את הפונקציות הבאות:
- רישום תפעולי : יוצר קובץ יומן נסתר עם שמות ותוספים אקראיים כדי לנטר את פעילויות הקמפיין באופן דיסקרטי.
- מסירת מטען : משתמש במנגנון פענוח בהתאמה אישית המשתמש במחולל מספרים פסאודו-אקראיים כדי להקל על טעינה וביצוע של פונקציות.
- ניתוב מחדש של זרימת ביצוע : מניפולציה של שרשורי תהליכים ומציגה הזרקות קוד לניתוב מחדש של ביצוע למכלול .NET מפוענח המכילה את התוכנה הזדונית העיקרית.
השלב האחרון בשרשרת ההתקפה המורכבת של טורלה מתפתח עם הפעלתו של קזואר, סוס טרויאני רב תכליתי שהיה מרכיב עיקרי בארסנל של טורלה מאז חשיפתו ב-2017. חוקרים הבחינו בהתקדמות עדינה אך תוצאתית בפריסה של קזואר, והדגישו פרוטוקול חדשני לנתונים סתירה ואי-התאמות בספריית הרישום - סטיות מספיקות כדי להבחין בין הגרסה החדשה יותר לבין קודמותיה.
