Pelmeni Wrapper: outra ferramenta no arsenal de Turla

Uma pesquisa conduzida pelo Lab52 revelou uma nova campanha Turla que emprega estratégias inovadoras juntamente com uma versão personalizada do trojan Kazuar. A sua análise investiga os aspectos técnicos da abordagem da campanha e fornece indicadores de compromisso (IOC) para melhorar as estratégias defensivas.

Turla, um grupo de espionagem cibernética que se acredita ter ligações com o FSB russo, é conhecido pela sua segmentação precisa e ritmo operacional sustentado. Operando desde pelo menos 2004, Turla tem como alvo principal órgãos governamentais, estabelecimentos de pesquisa, embaixadas, bem como indústrias que abrangem energia, telecomunicações e produtos farmacêuticos em todo o mundo.

A campanha em questão ilustra a ênfase da Turla na segmentação precisa. Provavelmente foi iniciado através de infecções anteriores, com uma DLL maliciosa escondida em bibliotecas aparentemente legítimas (como SkyTel, NVIDIA, etc.). Referido como 'Pelmeni Wrapper', esta DLL inicia o próximo estágio de carga útil.

O Pelmeni Wrapper incorpora as seguintes funcionalidades:

Registro Operacional: Gera um arquivo de registro oculto com nomes e extensões aleatórios para monitorar atividades de campanha.
Entrega de carga útil: utiliza uma técnica de descriptografia personalizada, aproveitando um gerador de números pseudoaleatórios para facilitar o carregamento e a execução de funções.
Redirecionamento de fluxo de execução: manipula threads de processo e insere código para redirecionar a execução para um assembly .NET descriptografado que abriga o malware principal.

O auge da intrincada estratégia de Turla culmina com a implantação do Kazuar, um cavalo de Tróia versátil que tem sido um dos pilares do arsenal do Turla desde sua descoberta em 2017. A análise do Lab52 destaca avanços sutis, mas dignos de nota, na implantação do Kazuar, incluindo um novo protocolo de exfiltração de dados e alterações. no diretório de registro — variações que distinguem esta amostra de seus antecessores.

O assembly .NET extraído representa uma versão modificada do trojan Kazuar. As principais discrepâncias em comparação com as iterações analisadas anteriormente incluem:

Protocolo de exfiltração expandido: a incorporação de exfiltração baseada em soquete aumenta a adaptabilidade do malware na comunicação.
Armazenamento de log modificado: uma realocação do diretório de log indica personalização específica para esta campanha.

Esta pesquisa fornece insights sobre a evolução das táticas de Turla e sua utilização contínua do trojan Kazuar. À medida que as ameaças persistentes avançadas (APTs) evoluem, a compreensão das suas metodologias continua a ser imperativa para uma defesa proativa. Através da integração da inteligência sobre ameaças e da vigilância sustentada, as organizações podem mitigar os riscos representados por este sofisticado agente de ameaças.