Pelmeni omslag

Cybersäkerhetsanalytiker har grävt fram en ny Turla-kampanj som visar upp innovativa strategier och en personlig anpassning av Kazuar-trojanen, distribuerad genom en obekant omslag vid namn Pelmeni.

Turla , en cyberspionage APT-grupp (Advanced Persistent Threat) kopplad till den ryska FSB, är känd för sin noggranna målinriktning och orubbliga operativa takt. Sedan 2004 har Turla satsat på statliga organ, forskningsinstitutioner, diplomatiska beskickningar och sektorer som energi, telekommunikation och läkemedel på global skala.

Den granskade kampanjen understryker Turlas förkärlek för precisa strejker. Initial infiltration sker sannolikt genom tidigare infektioner, efterföljd av distributionen av en hotande DLL kamouflerad i till synes autentiska bibliotek från legitima tjänster eller produkter. Pelmeni Wrapper initierar lastningen av den efterföljande skadliga nyttolasten.

Pelmeni Wrapper utför flera hotfulla funktioner

Pelmeni Wrapper visar följande funktioner:

• Operationell loggning : Genererar en dold loggfil med randomiserade namn och tillägg för att diskret övervaka kampanjaktiviteter.
• Nyttolastleverans : Använder en skräddarsydd dekrypteringsmekanism som använder en pseudoslumptalsgenerator för att underlätta inläsning och exekvering av funktioner.
• Execution Flow Redirection : Manipulerar processtrådar och introducerar kodinjektioner för att omdirigera exekvering till en dekrypterad .NET-enhet som innehåller den primära skadliga programvaran.

Det sista stadiet av Turlas invecklade attackkedja utvecklas med aktiveringen av Kazuar, en mångsidig trojansk häst som har varit en stapelvara i Turlas arsenal sedan den grävdes fram 2017. Forskare har observerat subtila men ändå följdriktiga framsteg i Kazuars utplacering, vilket lyfter fram ett nytt protokoll för data exfiltration och avvikelser i loggningskatalogen - tillräckliga avvikelser för att skilja den nyare varianten från dess föregångare.