Pelmeni wrapper
Cybersikkerhetsanalytikere har avdekket en fersk Turla-kampanje som viser innovative strategier og en personlig tilpasning av Kazuar-trojaneren, distribuert gjennom en ukjent innpakning ved navn Pelmeni.
Turla , en cyberspionasje APT-gruppe (Advanced Persistent Threat) knyttet til den russiske FSB, er kjent for sin grundige målretting og urokkelige operasjonelle tempo. Siden 2004 har Turla satset på statlige organer, forskningsinstitusjoner, diplomatiske oppdrag og sektorer som energi, telekommunikasjon og farmasøytiske produkter på global skala.
Den undersøkte kampanjen understreker Turlas forkjærlighet for presise streik. Innledende infiltrasjon skjer sannsynligvis gjennom tidligere infeksjoner, etterfulgt av distribusjon av en truende DLL kamuflert i tilsynelatende autentiske biblioteker fra legitime tjenester eller produkter. Pelmeni Wrapper starter lasting av den påfølgende skadelige nyttelasten.
Pelmeni-innpakningen utfører flere truende funksjoner
Pelmeni Wrapper viser de påfølgende funksjonene:
- Driftslogging : Genererer en skjult loggfil med randomiserte navn og utvidelser for å overvåke kampanjeaktiviteter diskret.
- Nyttelastlevering : Bruker en skreddersydd dekrypteringsmekanisme som bruker en pseudo-tilfeldig tallgenerator for å lette lasting og utføring av funksjoner.
- Omdirigering av kjøringsflyt : Manipulerer prosesstråder og introduserer kodeinjeksjoner for å omdirigere kjøringen til en dekryptert .NET-enhet som inneholder den primære skadevare.
Den siste fasen av Turlas intrikate angrepskjede utfolder seg med aktiveringen av Kazuar, en allsidig trojansk hest som har vært en fast bestanddel i Turlas arsenal siden den ble avdekket i 2017. Forskere har observert subtile, men likevel følgemessige fremskritt i Kazuars utplassering, og fremhever en ny protokoll for data. eksfiltrering og avvik i loggkatalogen - tilstrekkelige avvik til å skille den nyere varianten fra forgjengerne.