Involucro Pelmeni

Gli analisti della sicurezza informatica hanno scoperto una nuova campagna Turla che mostra strategie innovative e un adattamento personalizzato del trojan Kazuar, distribuito attraverso un wrapper sconosciuto chiamato Pelmeni.

Turla , un gruppo di spionaggio informatico APT (Advanced Persistent Threat) collegato all'FSB russo, è rinomato per il suo meticoloso targeting e il ritmo operativo costante. Dal 2004, Turla si è concentrata su enti governativi, istituti di ricerca, missioni diplomatiche e settori come l'energia, le telecomunicazioni e i prodotti farmaceutici su scala globale.

La campagna esaminata sottolinea la propensione di Turla per i colpi precisi. L'infiltrazione iniziale avviene probabilmente attraverso infezioni precedenti, seguite dall'implementazione di una DLL minacciosa mimetizzata all'interno di librerie apparentemente autentiche di servizi o prodotti legittimi. Il Pelmeni Wrapper avvia il caricamento del successivo carico utile dannoso.

L'involucro Pelmeni esegue diverse funzioni minacciose

Il Pelmeni Wrapper presenta le seguenti funzionalità:

• Registrazione operativa : genera un file di registro nascosto con nomi ed estensioni casuali per monitorare discretamente le attività della campagna.
• Consegna del carico utile : utilizza un meccanismo di decrittazione su misura che impiega un generatore di numeri pseudo-casuali per facilitare il caricamento e l'esecuzione delle funzioni.
• Reindirizzamento del flusso di esecuzione : manipola i thread di processo e introduce iniezioni di codice per reindirizzare l'esecuzione a un assembly .NET decrittografato che ospita il malware principale.

La fase finale dell'intricata catena di attacchi di Turla si svolge con l'attivazione di Kazuar, un versatile cavallo di Troia che è stato un punto fermo nell'arsenale di Turla sin dalla sua scoperta nel 2017. I ricercatori hanno osservato progressi sottili ma consequenziali nell'implementazione di Kazuar, evidenziando un nuovo protocollo per i dati esfiltrazione e discrepanze nella directory di registrazione: deviazioni sufficienti per distinguere la variante più recente dai predecessori.