Pelmeni Wrapper: Endnu et værktøj i Turlas Arsenal

Forskning udført af Lab52 har afsløret en ny Turla-kampagne, der anvender innovative strategier sammen med en skræddersyet version af Kazuar-trojanen. Deres analyse dykker ned i de tekniske aspekter af kampagnens tilgang og giver indikatorer for kompromis (IOC'er) for at forbedre defensive strategier.

Turla, en cyberspionagegruppe, der menes at have forbindelser til den russiske FSB, er kendt for sin præcise målretning og vedvarende operationelle tempo. Turla, der har fungeret siden mindst 2004, retter sig primært mod statslige organer, forskningsinstitutioner, ambassader samt industrier, der spænder over energi, telekommunikation og farmaceutiske produkter globalt.

Den pågældende kampagne illustrerer Turlas vægt på præcis målretning. Det er sandsynligvis initieret gennem tidligere infektioner med en ondsindet DLL skjult i tilsyneladende legitime biblioteker (såsom SkyTel, NVIDIA osv.). Benævnt 'Pelmeni Wrapper', denne DLL initierer den næste trins nyttelast.

Pelmeni Wrapper inkorporerer følgende funktionaliteter:

Operationel logning: Genererer en skjult logfil med randomiserede navne og udvidelser for at overvåge kampagneaktiviteter.
Levering af nyttelast: Bruger en tilpasset dekrypteringsteknik, der udnytter en pseudorandom-talgenerator for at lette indlæsning og udførelse af funktioner.
Execution Flow Redirection: Manipulerer procestråde og indsætter kode for at omdirigere eksekvering til en dekrypteret .NET-samling, der rummer den centrale malware.

Toppen af Turlas indviklede strategi kulminerer med indsættelsen af Kazuar, en alsidig trojansk hest, der har været en grundpille i Turlas arsenal siden dens opdagelse i 2017. Lab52's analyse fremhæver subtile, men bemærkelsesværdige fremskridt i Kazuars udrulning, herunder en ny protokol for dataændringer og udskiftning af data. i logføringsmappen – variationer, der adskiller denne prøve fra dens forgængere.

Den udpakkede .NET-samling repræsenterer en modificeret version af Kazuar-trojanen. Vigtige uoverensstemmelser sammenlignet med tidligere analyserede iterationer omfatter:

Udvidet Exfiltration Protocol: Inkorporering af socket-baseret eksfiltrering forbedrer malwarens tilpasningsevne i kommunikation.
Ændret logopbevaring: En flytning af logbiblioteket indikerer tilpasning, der er specifik for denne kampagne.

Denne forskning giver indsigt i Turlas udviklende taktik og deres fortsatte brug af Kazuar-trojaneren. Efterhånden som avancerede vedvarende trusler (APT'er) udvikler sig, er det stadig nødvendigt at forstå deres metoder for proaktivt forsvar. Gennem integration af trusselsintelligens og vedvarende årvågenhed kan organisationer mindske de risici, som denne sofistikerede trusselsaktør udgør.