Pelmeni Wrapper: Et annet verktøy i Turlas Arsenal

Forskning utført av Lab52 har avslørt en ny Turla-kampanje som bruker innovative strategier sammen med en skreddersydd versjon av Kazuar-trojaneren. Analysen deres går inn i de tekniske aspektene ved kampanjens tilnærming og gir indikatorer på kompromiss (IOCs) for å forbedre defensive strategier.

Turla, en cyberspionasjegruppe som antas å ha bånd til den russiske FSB, er kjent for sin presise målretting og vedvarende operative tempo. Turla har vært i drift siden minst 2004 og retter seg primært mot offentlige organer, forskningsinstitusjoner, ambassader, samt industrier som spenner over energi, telekommunikasjon og farmasøytiske produkter globalt.

Den aktuelle kampanjen illustrerer Turlas vekt på presis målretting. Det er sannsynligvis initiert gjennom tidligere infeksjoner, med en ondsinnet DLL skjult i tilsynelatende legitime biblioteker (som SkyTel, NVIDIA, etc.). Denne DLL-filen, referert til som 'Pelmeni Wrapper', starter neste trinns nyttelast.

Pelmeni Wrapper inneholder følgende funksjoner:

Driftslogging: Genererer en skjult loggfil med randomiserte navn og utvidelser for å overvåke kampanjeaktiviteter.
Nyttelastlevering: Bruker en tilpasset dekrypteringsteknikk som utnytter en pseudorandom-nummergenerator for å lette funksjonslasting og utførelse.
Omdirigering av kjøringsflyt: Manipulerer prosesstråder og setter inn kode for å omdirigere kjøringen til en dekryptert .NET-enhet som inneholder den sentrale skadevare.

Toppen av Turlas intrikate strategi kulminerer med utplasseringen av Kazuar, en allsidig trojansk hest som har vært en bærebjelke i Turlas arsenal siden den ble oppdaget i 2017. Lab52s analyse fremhever subtile, men likevel bemerkelsesverdige fremskritt i Kazuars utplassering, inkludert en ny dataeksfiltreringsprotokoll og dataeksfiltreringsprotokoll. i loggingskatalogen – varianter som skiller denne prøven fra forgjengerne.

Den utpakkede .NET-samlingen representerer en modifisert versjon av Kazuar-trojaneren. Viktige avvik sammenlignet med tidligere analyserte iterasjoner inkluderer:

Expanded Exfiltration Protocol: Inkorporering av socket-basert eksfiltrering forbedrer skadelig programvares tilpasningsevne i kommunikasjon.
Modifisert logglagring: En flytting av loggkatalogen indikerer tilpasning som er spesifikk for denne kampanjen.

Denne forskningen gir innsikt i Turlas utviklende taktikk og deres fortsatte bruk av Kazuar-trojaneren. Ettersom avanserte vedvarende trusler (APTs) utvikler seg, er det fortsatt avgjørende å forstå metodene deres for proaktivt forsvar. Gjennom integrering av trusseletterretning og vedvarende årvåkenhet kan organisasjoner redusere risikoen som denne sofistikerte trusselaktøren utgjør.