Pelmeni Wrapper: Ett annat verktyg i Turlas Arsenal

Forskning utförd av Lab52 har avslöjat en ny Turla-kampanj som använder innovativa strategier tillsammans med en skräddarsydd version av Kazuar-trojanen. Deras analys fördjupar sig i de tekniska aspekterna av kampanjens tillvägagångssätt och ger indikatorer på kompromisser (IOCs) för att förbättra defensiva strategier.

Turla, en cyberspionagegrupp som tros ha kopplingar till den ryska FSB, är känd för sin exakta inriktning och ihållande operativa tempo. Turla har varit verksamt sedan åtminstone 2004 och riktar sig främst till statliga organ, forskningsinstitutioner, ambassader, såväl som industrier som spänner över energi, telekommunikation och läkemedel globalt.

Kampanjen i fråga illustrerar Turlas betoning på exakt inriktning. Det är troligtvis initierat genom tidigare infektioner, med en skadlig DLL gömd i till synes legitima bibliotek (som SkyTel, NVIDIA, etc.). Denna DLL, kallad 'Pelmeni Wrapper', initierar nästa stegs nyttolast.

Pelmeni Wrapper innehåller följande funktioner:

Operationell loggning: Genererar en dold loggfil med randomiserade namn och tillägg för att övervaka kampanjaktiviteter.
Leverans av nyttolast: Använder en skräddarsydd dekrypteringsteknik som utnyttjar en pseudoslumptalsgenerator för att underlätta funktionsladdning och exekvering.
Execution Flow Redirection: Manipulerar processtrådar och infogar kod för att omdirigera exekveringen till en dekrypterad .NET-sammansättning som innehåller den kärnskadliga programvaran.

Toppen av Turlas intrikata strategi kulminerar med utplaceringen av Kazuar, en mångsidig trojansk häst som har varit en stöttepelare i Turlas arsenal sedan upptäckten 2017. Lab52:s analys belyser subtila men ändå anmärkningsvärda framsteg i Kazuars utplacering, inklusive ett nytt dataexfiltreringsprotokoll och dataexfiltreringsprotokoll. i loggningskatalogen – varianter som skiljer detta exempel från dess föregångare.

Den extraherade .NET-sammansättningen representerar en modifierad version av Kazuar-trojanen. Viktiga avvikelser jämfört med tidigare analyserade iterationer inkluderar:

Expanded Exfiltration Protocol: Inkorporering av socket-baserad exfiltrering förbättrar skadlig programvaras anpassningsförmåga i kommunikation.
Modifierad logglagring: En flytt av loggkatalogen indikerar anpassning som är specifik för denna kampanj.

Den här forskningen ger insikter i Turlas utvecklande taktik och deras fortsatta användning av Kazuar-trojanen. När avancerade ihållande hot (APTs) utvecklas, är det fortfarande nödvändigt att förstå deras metoder för proaktivt försvar. Genom integrering av hotintelligens och uthållig vaksamhet kan organisationer minska riskerna som denna sofistikerade hotaktör utgör.