Обертка для пельменей: еще один инструмент в арсенале Turla

Исследование, проведенное Lab52, выявило новую кампанию Turla, в которой используются инновационные стратегии наряду с адаптированной версией трояна Kazuar. Их анализ углубляется в технические аспекты подхода кампании и предоставляет индикаторы компромисса (IOC) для усиления оборонительных стратегий.

Turla, группа кибершпионажа, предположительно связанная с ФСБ России, известна своим точным выбором целей и устойчивым темпом операций. Действуя как минимум с 2004 года, Turla в первую очередь нацелена на правительственные органы, исследовательские учреждения, посольства, а также на отрасли энергетики, телекоммуникаций и фармацевтики по всему миру.

Рассматриваемая кампания иллюстрирует акцент Turla на точном таргетировании. Вероятно, он инициируется предыдущим заражением с помощью вредоносной DLL, спрятанной в, казалось бы, законных библиотеках (таких как SkyTel, NVIDIA и т. д.). Эта DLL, называемая «оболочкой пельменей», инициирует полезную нагрузку следующего этапа.

Обертка для пельменей включает в себя следующие функциональные возможности:

Оперативное ведение журнала: генерирует скрытый файл журнала со случайными именами и расширениями для мониторинга действий кампании.
Доставка полезной нагрузки. Использует настраиваемую технику расшифровки с использованием генератора псевдослучайных чисел для облегчения загрузки и выполнения функций.
Перенаправление потока выполнения: манипулирует потоками процессов и вставляет код для перенаправления выполнения на расшифрованную сборку .NET, содержащую основное вредоносное ПО.

Кульминацией сложной стратегии Turla является развертывание Kazuar, универсального троянского коня, который был основой арсенала Turla с момента его открытия в 2017 году. Анализ Lab52 подчеркивает тонкие, но заслуживающие внимания достижения в развертывании Kazuar, включая новый протокол эксфильтрации данных и изменения. в каталоге журналов — варианты, которые отличают этот образец от его предшественников.

Извлеченная сборка .NET представляет собой модифицированную версию трояна Kazuar. Ключевые расхождения по сравнению с ранее проанализированными итерациями включают:

Расширенный протокол эксфильтрации. Включение эксфильтрации на основе сокетов повышает адаптивность вредоносного ПО при общении.
Измененное хранилище журналов: перемещение каталога журналов указывает на настройку, специфичную для этой кампании.

Это исследование дает представление об меняющейся тактике Turla и продолжающемся использовании трояна Kazuar. По мере развития сложных постоянных угроз (APT) понимание их методологий остается обязательным условием превентивной защиты. Благодаря интеграции анализа угроз и постоянной бдительности организации могут снизить риски, исходящие от этого сложного злоумышленника.