Opakowanie Pelmeni

Analitycy cyberbezpieczeństwa odkryli nową kampanię Turla prezentującą innowacyjne strategie i spersonalizowaną adaptację trojana Kazuar, dystrybuowanego za pośrednictwem nieznanego opakowania o nazwie Pelmeni.

Turla , cyberszpiegowska grupa APT (Advanced Persistent Threat) powiązana z rosyjską FSB, słynie ze skrupulatnego namierzania celów i niezmiennego tempa operacyjnego. Od 2004 roku Turla skupiła się na organach rządowych, placówkach badawczych, misjach dyplomatycznych i sektorach takich jak energetyka, telekomunikacja i farmaceutyka w skali globalnej.

Badana kampania podkreśla upodobanie Turli do precyzyjnych uderzeń. Początkowa infiltracja prawdopodobnie następuje w wyniku wcześniejszych infekcji, po których następuje wdrożenie groźnej biblioteki DLL zakamuflowanej w pozornie autentycznych bibliotekach legalnych usług lub produktów. Owijarka Pelmeni inicjuje załadunek kolejnego szkodliwego ładunku.

Owijarka Pelmeni spełnia kilka groźnych funkcji

Pelmeni Wrapper prezentuje następujące funkcjonalności:

• Rejestrowanie operacyjne : generuje ukryty plik dziennika z losowymi nazwami i rozszerzeniami, aby dyskretnie monitorować działania kampanii.
• Dostarczanie ładunku : wykorzystuje dostosowany mechanizm deszyfrowania wykorzystujący generator liczb pseudolosowych w celu ułatwienia ładowania i wykonywania funkcji.
• Przekierowanie przepływu wykonania : manipuluje wątkami procesów i wprowadza wstrzykiwanie kodu w celu przekierowania wykonania do odszyfrowanego zestawu .NET, w którym znajduje się główne złośliwe oprogramowanie.

Ostatni etap skomplikowanego łańcucha ataków Turli rozpoczyna się wraz z aktywacją Kazuara, wszechstronnego konia trojańskiego, który stanowi podstawę arsenału Turli od czasu jego odkrycia w 2017 r. Badacze zaobserwowali subtelne, ale konsekwentne postępy we wdrażaniu Kazuara, podkreślając nowatorski protokół przesyłania danych eksfiltracja i rozbieżności w katalogu logowania - wystarczające odchylenia, aby odróżnić nowszy wariant od poprzedników.