Pelmeni Wrapper : un autre outil dans l'arsenal de Turla

Les recherches menées par Lab52 ont révélé une nouvelle campagne Turla employant des stratégies innovantes ainsi qu'une version personnalisée du cheval de Troie Kazuar. Leur analyse approfondit les aspects techniques de l'approche de la campagne et fournit des indicateurs de compromission (IOC) pour renforcer les stratégies défensives.

Turla, un groupe de cyberespionnage soupçonné d'avoir des liens avec le FSB russe, est réputé pour son ciblage précis et son rythme opérationnel soutenu. En activité depuis au moins 2004, Turla cible principalement les organismes gouvernementaux, les établissements de recherche, les ambassades, ainsi que les industries de l'énergie, des télécommunications et des produits pharmaceutiques à l'échelle mondiale.

La campagne en question illustre l'accent mis par Turla sur un ciblage précis. Il est probablement initié par des infections antérieures, avec une DLL malveillante dissimulée dans des bibliothèques apparemment légitimes (telles que SkyTel, NVIDIA, etc.). Appelée « Pelmeni Wrapper », cette DLL lance la charge utile de l'étape suivante.

Le Pelmeni Wrapper intègre les fonctionnalités suivantes :

Journalisation opérationnelle : génère un fichier journal masqué avec des noms et des extensions aléatoires pour surveiller les activités de campagne.
Payload Delivery : utilise une technique de décryptage personnalisée tirant parti d’un générateur de nombres pseudo-aléatoires pour faciliter le chargement et l’exécution des fonctions.
Redirection du flux d'exécution : manipule les threads de processus et insère du code pour rediriger l'exécution vers un assembly .NET déchiffré hébergeant le logiciel malveillant principal.

Le point culminant de la stratégie complexe de Turla culmine avec le déploiement de Kazuar, un cheval de Troie polyvalent qui constitue un pilier de l'arsenal de Turla depuis sa découverte en 2017. L'analyse de Lab52 met en évidence des avancées subtiles mais remarquables dans le déploiement de Kazuar, notamment un nouveau protocole d'exfiltration de données et des modifications. dans le répertoire de journalisation : variations qui distinguent cet exemple de ses prédécesseurs.

L'assembly .NET extrait représente une version modifiée du cheval de Troie Kazuar. Les principales divergences par rapport aux itérations analysées précédemment comprennent :

Protocole d'exfiltration étendu : l'incorporation de l'exfiltration basée sur les sockets améliore l'adaptabilité du malware dans la communication.
Stockage des journaux modifiés : un déplacement du répertoire des journaux indique une personnalisation spécifique à cette campagne.

Cette recherche donne un aperçu de l'évolution des tactiques de Turla et de leur utilisation continue du cheval de Troie Kazuar. À mesure que les menaces persistantes avancées (APT) évoluent, la compréhension de leurs méthodologies reste impérative pour une défense proactive. Grâce à l’intégration des renseignements sur les menaces et à une vigilance soutenue, les organisations peuvent atténuer les risques posés par cet acteur malveillant sophistiqué.