Опаковка за пелмени

Анализаторите на киберсигурността откриха нова кампания на Turla, представяща иновативни стратегии и персонализирана адаптация на троянския кон Kazuar, разпространяван чрез непозната обвивка, наречена Pelmeni.

Turla , група за кибершпионаж APT (Advanced Persistent Threat), свързана с руската ФСБ, е известна със своето прецизно насочване и непоколебимо оперативно темпо. От 2004 г. Turla се фокусира върху правителствени органи, изследователски институции, дипломатически мисии и сектори като енергетика, телекомуникации и фармацевтични продукти в глобален мащаб.

Разгледаната кампания подчертава склонността на Turla към прецизни удари. Първоначалното проникване вероятно става чрез предишни инфекции, последвани от внедряването на заплашителен DLL, замаскиран в привидно автентични библиотеки от законни услуги или продукти. Pelmeni Wrapper инициира зареждането на последващия вреден полезен товар.

Опаковката на пелмени изпълнява няколко заплашителни функции

Pelmeni Wrapper демонстрира следните функции:

• Оперативно регистриране : Генерира скрит лог файл с произволни имена и разширения за дискретно наблюдение на дейностите на кампанията.
• Доставка на полезния товар : Използва механизъм за декриптиране по поръчка, използващ генератор на псевдо-случайни числа, за да улесни зареждането и изпълнението на функции.
• Пренасочване на потока на изпълнение : Манипулира нишките на процеса и въвежда инжектиране на код за пренасочване на изпълнението към декриптиран .NET модул, съдържащ основния зловреден софтуер.

Последният етап от сложната верига на атака на Turla се разгръща с активирането на Kazuar, многофункционален троянски кон, който е основна част от арсенала на Turla след разкриването му през 2017 г. Изследователите са наблюдавали фини, но последователни напредъци в внедряването на Kazuar, подчертавайки нов протокол за данни ексфилтрация и несъответствия в регистрационната директория - достатъчни отклонения за разграничаване на по-новия вариант от предшествениците му.