Pelmeni Wrapper: kolejne narzędzie w arsenale Turli
Badanie przeprowadzone przez Lab52 ujawniło nową kampanię Turla wykorzystującą innowacyjne strategie wraz ze dostosowaną wersją trojana Kazuar. Ich analiza zagłębia się w techniczne aspekty podejścia kampanii i dostarcza wskaźników kompromisu (IOC) w celu ulepszenia strategii obronnych.
Turla, grupa cyberszpiegowska, prawdopodobnie powiązana z rosyjską FSB, słynie z precyzyjnego namierzania celów i stałego tempa operacyjnego. Działając od co najmniej 2004 r., Turla atakuje przede wszystkim organy rządowe, instytucje badawcze, ambasady, a także branże energetyczne, telekomunikacyjne i farmaceutyczne na całym świecie.
Omawiana kampania ilustruje nacisk, jaki Turla kładzie na precyzyjne targetowanie. Jest prawdopodobnie inicjowany przez wcześniejsze infekcje, a złośliwa biblioteka DLL jest ukryta w pozornie legalnych bibliotekach (takich jak SkyTel, NVIDIA itp.). Ta biblioteka DLL, nazywana „opaką Pelmeni”, inicjuje ładunek następnego etapu.
Owijarka Pelmeni posiada następujące funkcjonalności:
Rejestrowanie operacyjne: generuje ukryty plik dziennika z losowymi nazwami i rozszerzeniami w celu monitorowania działań kampanii.
Dostarczanie ładunku: wykorzystuje dostosowaną technikę deszyfrowania wykorzystującą generator liczb pseudolosowych w celu ułatwienia ładowania i wykonywania funkcji.
Przekierowanie przepływu wykonania: manipuluje wątkami procesów i wstawia kod w celu przekierowania wykonania do odszyfrowanego zestawu .NET, w którym znajduje się podstawowe złośliwe oprogramowanie.
Kulminacją zawiłej strategii Turli jest wdrożenie Kazuara, wszechstronnego konia trojańskiego, który stanowi ostoję arsenału Turli od jego odkrycia w 2017 roku. Analiza Lab52 podkreśla subtelne, ale godne uwagi postępy we wdrożeniu Kazuara, w tym nowy protokół eksfiltracji danych i zmiany w katalogu rejestrowania — odmiany odróżniające tę próbkę od jej poprzedników.
Wyodrębniony zespół .NET reprezentuje zmodyfikowaną wersję trojana Kazuar. Kluczowe rozbieżności w porównaniu z wcześniej analizowanymi iteracjami obejmują:
Rozszerzony protokół eksfiltracji: Włączenie eksfiltracji opartej na gniazdach zwiększa możliwości adaptacji złośliwego oprogramowania w komunikacji.
Zmodyfikowane przechowywanie logów: przeniesienie katalogu logów wskazuje na dostosowanie specyficzne dla tej kampanii.
Badanie to zapewnia wgląd w ewoluującą taktykę firmy Turla i ciągłe wykorzystywanie przez nią trojana Kazuar. W miarę ewolucji zaawansowanych trwałych zagrożeń (APT) zrozumienie ich metodologii pozostaje niezbędne dla proaktywnej obrony. Dzięki integracji informacji o zagrożeniach i ciągłej czujności organizacje mogą ograniczyć ryzyko stwarzane przez tego wyrafinowanego aktora zagrażającego.