Envoltura Pelmeni: otra herramienta en el arsenal de Turla

La investigación realizada por Lab52 ha revelado una nueva campaña de Turla que emplea estrategias innovadoras junto con una versión personalizada del troyano Kazuar. Su análisis profundiza en los aspectos técnicos del enfoque de la campaña y proporciona indicadores de compromiso (IOC) para mejorar las estrategias defensivas.

Turla, un grupo de ciberespionaje que se cree tiene vínculos con el FSB ruso, es conocido por sus objetivos precisos y su ritmo operativo sostenido. Turla, que opera desde al menos 2004, se dirige principalmente a organismos gubernamentales, establecimientos de investigación, embajadas, así como a industrias que abarcan energía, telecomunicaciones y productos farmacéuticos a nivel mundial.

La campaña en cuestión ilustra el énfasis de Turla en la focalización precisa. Es probable que se inicie a través de infecciones anteriores, con una DLL maliciosa oculta dentro de bibliotecas aparentemente legítimas (como SkyTel, NVIDIA, etc.). Conocida como 'Pelmeni Wrapper', esta DLL inicia la carga útil de la siguiente etapa.

El Pelmeni Wrapper incorpora las siguientes funcionalidades:

Registro operativo: genera un archivo de registro oculto con nombres y extensiones aleatorios para monitorear las actividades de la campaña.
Entrega de carga útil: utiliza una técnica de descifrado personalizada que aprovecha un generador de números pseudoaleatorios para facilitar la carga y ejecución de funciones.
Redirección del flujo de ejecución: manipula los subprocesos del proceso e inserta código para redirigir la ejecución a un ensamblado .NET descifrado que alberga el malware principal.

El pináculo de la intrincada estrategia de Turla culmina con el despliegue de Kazuar, un caballo de Troya versátil que ha sido un pilar del arsenal de Turla desde su descubrimiento en 2017. El análisis de Lab52 destaca avances sutiles pero notables en el despliegue de Kazuar, incluido un nuevo protocolo de filtración de datos y modificaciones. en el directorio de registro: variaciones que distinguen esta muestra de sus predecesoras.

El ensamblado .NET extraído representa una versión modificada del troyano Kazuar. Las discrepancias clave en comparación con las iteraciones analizadas previamente incluyen:

Protocolo de exfiltración ampliado: la incorporación de exfiltración basada en sockets mejora la adaptabilidad del malware en la comunicación.
Almacenamiento de registros modificado: una reubicación del directorio de registros indica una personalización específica de esta campaña.

Esta investigación proporciona información sobre la evolución de las tácticas de Turla y su utilización continua del troyano Kazuar. A medida que evolucionan las amenazas persistentes avanzadas (APT), comprender sus metodologías sigue siendo imperativo para una defensa proactiva. Mediante la integración de inteligencia sobre amenazas y vigilancia sostenida, las organizaciones pueden mitigar los riesgos que plantea este sofisticado actor de amenazas.