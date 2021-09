Zespół Cisco Talos przeprowadził badania , które wykazały nowe, potencjalne powiązania między backdoorem Sunburst a wspomnianym wcześniej zespołem hakerów. Odkrycie zostało dokonane za pomocą telemetrii, ale by poznać dokładny sposób jego instalacji w systemie ofiary konieczne były dalsze badania.

Jak ustalił zespół badaczy, do zainstalowania backdoora adwersarze używają pliku .bat, zaś backdoor ma postać usługi DLL o nazwie w64time.dll. Dzięki tej nazwie i sposobowi jego ukrycie, jego odkrycie sprawia sporo problemów. Szczególnie, że w Windowsie można znaleźć bibliotekę w32time.dll, która w żaden sposób nie jest powiązana ze szkodliwym oprogramowaniem.

Złośliwe oprogramowanie stworzone przez Turlę działa jako usługa ukryta w procesie svchost.exe. Funkcja startowa ServiceMain biblioteki DLL służy do wykonania funkcji zawierającej kod backdoora. To jednak nie wszystko co Turla wykorzystuje w swoich atakach.