Pelmeni Wrapper: Ένα άλλο εργαλείο στην Άρσεναλ του Turla

Έρευνα που διεξήχθη από το Lab52 αποκάλυψε μια νέα καμπάνια Turla που χρησιμοποιεί καινοτόμες στρατηγικές μαζί με μια προσαρμοσμένη έκδοση του Kazuar trojan. Η ανάλυσή τους εμβαθύνει στις τεχνικές πτυχές της προσέγγισης της εκστρατείας και παρέχει δείκτες συμβιβασμού (IOC) για την ενίσχυση των αμυντικών στρατηγικών.

Η Turla, μια ομάδα κατασκοπείας στον κυβερνοχώρο που πιστεύεται ότι έχει δεσμούς με τη ρωσική FSB, είναι γνωστή για την ακριβή στόχευση και τον σταθερό επιχειρησιακό της ρυθμό. Λειτουργώντας τουλάχιστον από το 2004, η Turla στοχεύει κυρίως κυβερνητικούς φορείς, ερευνητικά ιδρύματα, πρεσβείες, καθώς και βιομηχανίες που καλύπτουν την ενέργεια, τις τηλεπικοινωνίες και τα φαρμακευτικά προϊόντα παγκοσμίως.

Η εν λόγω καμπάνια απεικονίζει την έμφαση που δίνει η Turla στην ακριβή στόχευση. Πιθανότατα ξεκινά μέσω προηγούμενων μολύνσεων, με ένα κακόβουλο DLL που κρύβεται σε φαινομενικά νόμιμες βιβλιοθήκες (όπως SkyTel, NVIDIA, κ.λπ.). Αυτό το DLL, που αναφέρεται ως "Pelmeni Wrapper", ξεκινά το ωφέλιμο φορτίο επόμενου σταδίου.

Το Pelmeni Wrapper ενσωματώνει τις ακόλουθες λειτουργίες:

Λειτουργική καταγραφή: Δημιουργεί ένα κρυφό αρχείο καταγραφής με τυχαία ονόματα και επεκτάσεις για την παρακολούθηση των δραστηριοτήτων της καμπάνιας.
Παράδοση ωφέλιμου φορτίου: Χρησιμοποιεί μια προσαρμοσμένη τεχνική αποκρυπτογράφησης που αξιοποιεί μια γεννήτρια ψευδοτυχαίων αριθμών για να διευκολύνει τη φόρτωση και την εκτέλεση συναρτήσεων.
Ανακατεύθυνση ροής εκτέλεσης: Χειρίζεται τα νήματα διεργασίας και εισάγει κώδικα για να ανακατευθύνει την εκτέλεση σε ένα αποκρυπτογραφημένο συγκρότημα .NET που φιλοξενεί το βασικό κακόβουλο λογισμικό.

Το αποκορύφωμα της περίπλοκης στρατηγικής του Turla κορυφώνεται με την ανάπτυξη του Kazuar, ενός ευέλικτου δούρειου ίππου που αποτελεί βασικό στήριγμα στο οπλοστάσιο του Turla από την ανακάλυψή του το 2017. Η ανάλυση του Lab52 υπογραμμίζει λεπτές αλλά αξιοσημείωτες εξελίξεις στην ανάπτυξη του Kazuar, συμπεριλαμβανομένου ενός νέου πρωτοκόλλου δεδομένων και εξαγωγής δεδομένων στον κατάλογο καταγραφής—παραλλαγές που διακρίνουν αυτό το δείγμα από τους προκατόχους του.

Το εξαγόμενο συγκρότημα .NET αντιπροσωπεύει μια τροποποιημένη έκδοση του trojan Kazuar. Οι βασικές αποκλίσεις σε σύγκριση με επαναλήψεις που αναλύθηκαν προηγουμένως περιλαμβάνουν:

Expanded Exfiltration Protocol: Η ενσωμάτωση του socket-based exfiltration ενισχύει την προσαρμοστικότητα του κακόβουλου λογισμικού στην επικοινωνία.
Τροποποιημένος χώρος αποθήκευσης αρχείων καταγραφής: Η μετεγκατάσταση του καταλόγου καταγραφής υποδεικνύει προσαρμογή ειδικά για αυτήν την καμπάνια.

Αυτή η έρευνα παρέχει πληροφορίες για τις εξελισσόμενες τακτικές του Turla και τη συνεχή χρήση του trojan Kazuar. Καθώς οι προηγμένες επίμονες απειλές (APT) εξελίσσονται, η κατανόηση των μεθοδολογιών τους παραμένει επιτακτική για την προληπτική άμυνα. Μέσω της ενσωμάτωσης πληροφοριών για τις απειλές και διαρκούς επαγρύπνησης, οι οργανισμοί μπορούν να μετριάσουν τους κινδύνους που ενέχει αυτός ο εξελιγμένος παράγοντας απειλής.