Pelmeni-Wrapper: Ein weiteres Werkzeug in Turlas Arsenal

Von Lab52 durchgeführte Untersuchungen haben eine neue Turla-Kampagne aufgedeckt, die neben innovativen Strategien auch eine maßgeschneiderte Version des Kazuar-Trojaners einsetzt. Ihre Analyse befasst sich mit den technischen Aspekten des Kampagnenansatzes und liefert Kompromissindikatoren (IOCs) zur Verbesserung von Verteidigungsstrategien.

Turla, eine Cyber-Spionagegruppe, von der angenommen wird, dass sie Verbindungen zum russischen FSB hat, ist für ihre präzise Zielerfassung und ihr anhaltendes Einsatztempo bekannt. Turla ist seit mindestens 2004 tätig und richtet sich hauptsächlich an Regierungsbehörden, Forschungseinrichtungen, Botschaften sowie Branchen aus den Bereichen Energie, Telekommunikation und Pharmazie weltweit.

Die betreffende Kampagne verdeutlicht, dass Turla Wert auf präzises Targeting legt. Es wird wahrscheinlich durch frühere Infektionen ausgelöst, wobei eine bösartige DLL in scheinbar legitimen Bibliotheken (wie SkyTel, NVIDIA usw.) verborgen ist. Diese als „Pelmeni Wrapper“ bezeichnete DLL initiiert die Nutzlast der nächsten Stufe.

Der Pelmeni Wrapper umfasst die folgenden Funktionen:

Betriebsprotokollierung: Erstellt eine verborgene Protokolldatei mit zufälligen Namen und Erweiterungen zur Überwachung von Kampagnenaktivitäten.
Nutzlastbereitstellung: Verwendet eine angepasste Entschlüsselungstechnik, die einen Pseudozufallszahlengenerator nutzt, um das Laden und Ausführen von Funktionen zu erleichtern.
Umleitung des Ausführungsflusses: Manipuliert Prozessthreads und fügt Code ein, um die Ausführung an eine entschlüsselte .NET-Assembly umzuleiten, die die Kern-Malware enthält.

Der Höhepunkt von Turlas komplizierter Strategie gipfelt im Einsatz von Kazuar, einem vielseitigen Trojanischen Pferd, das seit seiner Entdeckung im Jahr 2017 eine tragende Säule in Turlas Arsenal ist. Die Analyse von Lab52 hebt subtile, aber bemerkenswerte Fortschritte im Einsatz von Kazuar hervor, darunter ein neues Datenexfiltrationsprotokoll und Änderungen im Protokollierungsverzeichnis – Variationen, die dieses Beispiel von seinen Vorgängern unterscheiden.

Die extrahierte .NET-Assembly stellt eine modifizierte Version des Kazuar-Trojaners dar. Zu den wichtigsten Abweichungen im Vergleich zu zuvor analysierten Iterationen gehören:

Erweitertes Exfiltrationsprotokoll: Die Integration von Socket-basierter Exfiltration verbessert die Anpassungsfähigkeit der Malware bei der Kommunikation.
Geänderter Protokollspeicher: Eine Verschiebung des Protokollverzeichnisses weist auf eine kampagnenspezifische Anpassung hin.

Diese Forschung liefert Einblicke in Turlas sich entwickelnde Taktiken und ihren fortgesetzten Einsatz des Kazuar-Trojaners. Da sich Advanced Persistent Threats (APTs) weiterentwickeln, bleibt das Verständnis ihrer Methoden für eine proaktive Verteidigung unerlässlich. Durch die Integration von Bedrohungsinformationen und kontinuierlicher Wachsamkeit können Unternehmen die von diesem hochentwickelten Bedrohungsakteur ausgehenden Risiken mindern.