Pelmeni Wrapper

Analytici kybernetickej bezpečnosti objavili novú kampaň Turla, ktorá predstavuje inovatívne stratégie a personalizovanú adaptáciu trójskeho koňa Kazuar, distribuovaného prostredníctvom neznámeho obalu s názvom Pelmeni.

Turla , kybernetická špionážna skupina APT (Advanced Persistent Threat) napojená na ruskú FSB, je známa svojim starostlivým zameraním a neochvejným operačným tempom. Od roku 2004 sa Turla v celosvetovom meradle zameriava na vládne orgány, výskumné zariadenia, diplomatické misie a sektory ako energetika, telekomunikácie a farmaceutický priemysel.

Skúmaná kampaň podčiarkuje Turlovu náklonnosť k presným zásahom. Počiatočná infiltrácia sa pravdepodobne vyskytuje prostredníctvom predchádzajúcich infekcií, po ktorých nasleduje nasadenie hrozivej knižnice DLL maskovanej v zdanlivo autentických knižniciach z legitímnych služieb alebo produktov. Pelmeni Wrapper iniciuje nakladanie následného škodlivého užitočného zaťaženia.

Pelmeni Wrapper vykonáva niekoľko hrozivých funkcií

Pelmeni Wrapper predstavuje nasledujúce funkcie:

• Operačné protokolovanie : Generuje skrytý protokolový súbor s náhodnými názvami a príponami na diskrétne monitorovanie aktivít kampane.
• Doručovanie užitočného zaťaženia : Využíva na mieru šitý dešifrovací mechanizmus využívajúci generátor pseudonáhodných čísel na uľahčenie načítania a vykonávania funkcií.
• Execution Flow Redirection : Manipuluje s procesnými vláknami a zavádza vkladanie kódu na presmerovanie vykonávania na dešifrovanú zostavu .NET, v ktorej je uložený primárny malvér.

Záverečná fáza zložitého útočného reťazca Turly sa rozvinie s aktiváciou Kazuara, všestranného trójskeho koňa, ktorý je základom v arzenáli Turly od jeho objavenia v roku 2017. Výskumníci pozorovali jemné, ale následné pokroky v nasadení Kazuaru, pričom zdôraznili nový protokol pre údaje. exfiltrácia a nezrovnalosti v adresári protokolovania - dostatočné odchýlky na odlíšenie novšieho variantu od jeho predchodcov.