Pelmeni Wrapper: un altro strumento nell'arsenale di Turla

La ricerca condotta da Lab52 ha rivelato una nuova campagna Turla che impiega strategie innovative insieme a una versione su misura del trojan Kazuar. La loro analisi approfondisce gli aspetti tecnici dell'approccio della campagna e fornisce indicatori di compromesso (IOC) per rafforzare le strategie difensive.

Turla, un gruppo di spionaggio informatico che si ritiene abbia legami con l'FSB russo, è rinomato per il suo targeting preciso e il ritmo operativo sostenuto. Operativo almeno dal 2004, Turla si rivolge principalmente a enti governativi, istituti di ricerca, ambasciate e industrie che spaziano dall'energia, alle telecomunicazioni e ai prodotti farmaceutici a livello globale.

La campagna in questione illustra l'enfasi di Turla su un targeting preciso. È probabile che venga avviato tramite infezioni precedenti, con una DLL dannosa nascosta all'interno di librerie apparentemente legittime (come SkyTel, NVIDIA, ecc.). Denominata "Pelmeni Wrapper", questa DLL avvia la fase successiva del payload.

Il Pelmeni Wrapper incorpora le seguenti funzionalità:

Registrazione operativa: genera un file di registro nascosto con nomi ed estensioni casuali per monitorare le attività della campagna.
Consegna del carico utile: utilizza una tecnica di decrittazione personalizzata che sfrutta un generatore di numeri pseudocasuali per facilitare il caricamento e l'esecuzione delle funzioni.
Reindirizzamento del flusso di esecuzione: manipola i thread di processo e inserisce codice per reindirizzare l'esecuzione a un assembly .NET decrittografato che ospita il malware principale.

L'apice dell'intricata strategia di Turla culmina con l'implementazione di Kazuar, un versatile cavallo di Troia che è stato un pilastro dell'arsenale di Turla sin dalla sua scoperta nel 2017. L'analisi di Lab52 evidenzia progressi sottili ma degni di nota nell'implementazione di Kazuar, tra cui un nuovo protocollo di esfiltrazione dei dati e alterazioni nella directory di registrazione: variazioni che distinguono questo esempio dai suoi predecessori.

L'assembly .NET estratto rappresenta una versione modificata del trojan Kazuar. Le principali discrepanze rispetto alle iterazioni precedentemente analizzate includono:

Protocollo di esfiltrazione ampliato: l'incorporazione dell'esfiltrazione basata su socket migliora l'adattabilità del malware nella comunicazione.
Archiviazione log modificata: uno spostamento della directory dei log indica una personalizzazione specifica per questa campagna.

Questa ricerca fornisce informazioni sull'evoluzione delle tattiche di Turla e sul loro continuo utilizzo del trojan Kazuar. Con l’evoluzione delle minacce persistenti avanzate (APT), la comprensione delle loro metodologie rimane fondamentale per una difesa proattiva. Attraverso l’integrazione dell’intelligence sulle minacce e una vigilanza continua, le organizzazioni possono mitigare i rischi posti da questo sofisticato attore di minacce.