Pelmeni indpakning

Cybersikkerhedsanalytikere har fundet frem til en frisk Turla-kampagne, der viser innovative strategier og en personlig tilpasning af Kazuar Trojan, distribueret gennem en ukendt indpakning ved navn Pelmeni.

Turla , en cyberspionage APT-gruppe (Advanced Persistent Threat) knyttet til den russiske FSB, er kendt for sin omhyggelige målretning og urokkelige operationelle tempo. Siden 2004 har Turla fokuseret på statslige organer, forskningsinstitutioner, diplomatiske missioner og sektorer som energi, telekommunikation og farmaceutiske produkter på globalt plan.

Den undersøgte kampagne understreger Turlas hang til præcise strejker. Indledende infiltration sker sandsynligvis gennem tidligere infektioner, efterfulgt af implementeringen af en truende DLL camoufleret i tilsyneladende autentiske biblioteker fra legitime tjenester eller produkter. Pelmeni Wrapper starter belastningen af den efterfølgende skadelige nyttelast.

Pelmeni-indpakningen udfører flere truende funktioner

Pelmeni Wrapper viser de efterfølgende funktionaliteter:

• Operationel logning : Genererer en skjult logfil med randomiserede navne og udvidelser for at overvåge kampagneaktiviteter diskret.
• Nyttelastlevering : Bruger en skræddersyet dekrypteringsmekanisme, der anvender en pseudo-tilfældig talgenerator for at lette indlæsning og udførelse af funktioner.
• Execution Flow Redirection : Manipulerer procestråde og introducerer kodeinjektioner for at omdirigere eksekvering til en dekrypteret .NET-samling, der rummer den primære malware.

Den sidste fase af Turlas indviklede angrebskæde udfolder sig med aktiveringen af Kazuar, en alsidig trojansk hest, der har været en fast bestanddel i Turlas arsenal siden dens afgravning i 2017. Forskere har observeret subtile, men dog konsekvensmæssige fremskridt i Kazuars implementering, hvilket fremhæver en ny protokol for data eksfiltrering og uoverensstemmelser i logføringsmappen - tilstrækkelige afvigelser til at skelne den nyere variant fra dens forgængere.