Pelmeni Wrapper: nog een hulpmiddel in Turla's arsenaal

Onderzoek uitgevoerd door Lab52 heeft een nieuwe Turla-campagne onthuld die gebruik maakt van innovatieve strategieën naast een op maat gemaakte versie van de Kazuar-trojan. Hun analyse gaat dieper in op de technische aspecten van de campagneaanpak en levert indicatoren voor compromissen (IOC's) om defensieve strategieën te versterken.

Turla, een cyberspionagegroep die vermoedelijk banden heeft met de Russische FSB, staat bekend om zijn nauwkeurige doelgerichtheid en aanhoudende operationele tempo. Turla is actief sinds minstens 2004 en richt zich voornamelijk op overheidsinstanties, onderzoeksinstellingen, ambassades en industrieën in de energie-, telecommunicatie- en farmaceutische sector wereldwijd.

De campagne in kwestie illustreert Turla's nadruk op nauwkeurige targeting. Het wordt waarschijnlijk geïnitieerd door eerdere infecties, waarbij een kwaadaardige DLL verborgen is in ogenschijnlijk legitieme bibliotheken (zoals SkyTel, NVIDIA, enz.). Deze DLL, ook wel de 'Pelmeni Wrapper' genoemd, initieert de payload van de volgende fase.

De Pelmeni Wrapper beschikt over de volgende functionaliteiten:

Operationele logboekregistratie: genereert een verborgen logbestand met willekeurige namen en extensies om campagneactiviteiten te volgen.
Payload Delivery: maakt gebruik van een aangepaste decoderingstechniek die gebruikmaakt van een pseudo-willekeurige nummergenerator om het laden en uitvoeren van functies te vergemakkelijken.
Execution Flow Redirection: Manipuleert procesthreads en voegt code in om de uitvoering om te leiden naar een gedecodeerde .NET-assembly waarin de kernmalware is ondergebracht.

Het hoogtepunt van Turla's ingewikkelde strategie culmineert in de inzet van Kazuar, een veelzijdig Trojaans paard dat sinds zijn ontdekking in 2017 een steunpilaar is in Turla's arsenaal. De analyse van Lab52 benadrukt subtiele maar opmerkelijke verbeteringen in de inzet van Kazuar, waaronder een nieuw data-exfiltratieprotocol en wijzigingen in de logboekdirectory: variaties die dit voorbeeld onderscheiden van zijn voorgangers.

De uitgepakte .NET-assembly vertegenwoordigt een aangepaste versie van de Kazuar-trojan. De belangrijkste discrepanties vergeleken met eerder geanalyseerde iteraties zijn onder meer:

Uitgebreid exfiltratieprotocol: de integratie van socketgebaseerde exfiltratie verbetert het aanpassingsvermogen van de malware in de communicatie.
Gewijzigde logopslag: een verplaatsing van de logdirectory duidt op maatwerk dat specifiek is voor deze campagne.

Dit onderzoek biedt inzicht in de evoluerende tactieken van Turla en hun voortdurende gebruik van de Kazuar-trojan. Naarmate geavanceerde persistente bedreigingen (APT’s) zich ontwikkelen, blijft het begrijpen van hun methodologieën essentieel voor proactieve verdediging. Door de integratie van dreigingsinformatie en aanhoudende waakzaamheid kunnen organisaties de risico’s van deze geavanceerde dreigingsactoren beperken.