Pelmeni-wikkelaar

Cybersecurity-analisten hebben een nieuwe Turla-campagne opgegraven waarin innovatieve strategieën en een gepersonaliseerde aanpassing van de Kazuar-trojan worden getoond, verspreid via een onbekende verpakking genaamd Pelmeni.

Turla , een cyberspionage-APT-groep (Advanced Persistent Threat) verbonden aan de Russische FSB, staat bekend om zijn nauwgezette doelgerichtheid en onwankelbare operationele tempo. Sinds 2004 richt Turla zich op mondiale schaal op overheidsinstanties, onderzoeksinstellingen, diplomatieke missies en sectoren als energie, telecommunicatie en farmacie.

De onderzochte campagne onderstreept Turla's voorliefde voor nauwkeurige aanvallen. De initiële infiltratie vindt waarschijnlijk plaats via eerdere infecties, gevolgd door de inzet van een bedreigende DLL die in ogenschijnlijk authentieke bibliotheken is gecamoufleerd tegen legitieme diensten of producten. De Pelmeni Wrapper initieert het laden van de daaropvolgende schadelijke lading.

De Pelmeni Wrapper voert verschillende bedreigende functies uit

De Pelmeni Wrapper toont de volgende functionaliteiten:

• Operationele logboekregistratie : genereert een verborgen logbestand met willekeurige namen en extensies om campagneactiviteiten discreet te volgen.
• Payload Delivery : Maakt gebruik van een op maat gemaakt decoderingsmechanisme dat gebruik maakt van een pseudo-willekeurige nummergenerator om het laden en uitvoeren van functies te vergemakkelijken.
• Execution Flow Redirection : Manipuleert procesthreads en introduceert code-injecties om de uitvoering om te leiden naar een gedecodeerde .NET-assembly waarin de primaire malware zich bevindt.

De laatste fase van Turla's ingewikkelde aanvalsketen ontvouwt zich met de activering van Kazuar, een veelzijdig Trojaans paard dat sinds de opgraving in 2017 een belangrijk onderdeel is van Turla's arsenaal. Onderzoekers hebben subtiele maar consequente verbeteringen waargenomen in de inzet van Kazuar, waarbij een nieuw protocol voor data wordt benadrukt. exfiltratie en discrepanties in de logdirectory - voldoende afwijkingen om de nieuwere variant van zijn voorgangers te onderscheiden.