Обертка для пельменей

Аналитики кибербезопасности обнаружили новую кампанию Turla, демонстрирующую инновационные стратегии и персонализированную адаптацию трояна Kazuar, распространяемого через незнакомую оболочку под названием Pelmeni.

Turla , группа кибершпионажа APT (Advanced Persistent Threat), связанная с ФСБ России, известна своим тщательным планированием и непоколебимым темпом операций. С 2004 года Turla сосредоточила свое внимание на правительственных органах, исследовательских учреждениях, дипломатических миссиях и таких секторах, как энергетика, телекоммуникации и фармацевтика, в глобальном масштабе.

Рассмотренная кампания подчеркивает склонность Турлы к точным ударам. Первоначальное проникновение, скорее всего, происходит в результате предшествующего заражения, за которым следует развертывание угрожающей DLL, замаскированной внутри, казалось бы, подлинных библиотек легальных сервисов или продуктов. Обертка для пельменей инициирует загрузку последующей вредоносной полезной нагрузки.

Обертка пельменей выполняет несколько угрожающих функций

Обертка для пельменей демонстрирует следующие функциональные возможности:

• Оперативное ведение журнала : генерирует скрытый файл журнала со случайными именами и расширениями для незаметного мониторинга действий кампании.
• Доставка полезной нагрузки : использует специальный механизм дешифрования с использованием генератора псевдослучайных чисел для облегчения загрузки и выполнения функций.
• Перенаправление потока выполнения . Управляет потоками процессов и внедряет инъекции кода для перенаправления выполнения на расшифрованную сборку .NET, в которой находится основное вредоносное ПО.

Заключительный этап сложной цепочки атак Turla разворачивается с активацией Kazuar, универсального троянского коня, который был основным продуктом арсенала Turla с момента его обнаружения в 2017 году. Исследователи заметили тонкие, но важные улучшения в развертывании Kazuar, подчеркнув новый протокол для передачи данных. эксфильтрация и несоответствия в каталоге журналирования — отклонения достаточные, чтобы отличить новый вариант от его предшественников.