Venomous Bear == Turla

Reference

2020.07.14/Turla / Venomous Bear updates its arsenal: “NewPass” appears on the APT threat scene

https://www.telsy.com/turla-venomous-bear-updates-its-arsenal-newpass-appears-on-the-apt-threat-scene/

Turla(2).pdf

사건 내용

이전에 본 적 없는 임플란트를 사용한 사건

• 내부적으로 **“NewPass”**라는 이름을 이용해 명령 및 제어에 유출된 데이터를 보내는 매개변수 중 하나로 지정함.

Telsy 기업은 이 임플란트가 외교 분야에서 적어도 하나의 유럽 연합 국가를 표적으로 삼는데 사용되었다고 의심함 🤔

NewPass

서로 간에 정보와 구성을 전달하기 위해 인코딩된 파일에 의존하는 다양한 구성 요소로 구성된 상당히 복잡한 멀웨어

+) 멀웨어의 구성요소

• 바이너리 파일을 배포하는 드롭퍼
• 바이너리 파일을 디코딩할 수 있는 로더 라이브러리
• 공격자의 명령 및 제어서버(에이전트)와 통신하는 것과 같은 특정 작업 수행하는 책임자

드롭퍼 분석

윈도우 라이브러리 사이즈 크기 : 2.6MB