Обгортка для пельменів

Аналітики з кібербезпеки знайшли свіжу кампанію Turla, яка демонструє інноваційні стратегії та персоналізовану адаптацію трояна Kazuar, що поширюється через незнайому оболонку під назвою Pelmeni.

Turla , група кібершпигунства APT (Advanced Persistent Threat), пов’язана з російською ФСБ, відома своїм ретельним визначенням цілей і непохитною оперативною швидкістю. З 2004 року Turla зосереджується на урядових установах, дослідницьких установах, дипломатичних представництвах і таких секторах, як енергетика, телекомунікації та фармацевтика в глобальному масштабі.

Розглянута кампанія підкреслює схильність Турли до точних ударів. Початкове проникнення, ймовірно, відбувається через попередні зараження, а потім розгортання загрозливої DLL, замаскованої в начебто автентичних бібліотеках законних служб або продуктів. Pelmeni Wrapper ініціює завантаження подальшого шкідливого корисного навантаження.

Обгортка пельменів виконує кілька загрозливих функцій

Pelmeni Wrapper демонструє такі функції:

• Операційне журналювання : створює прихований файл журналу з випадковими іменами та розширеннями для непомітного моніторингу активності кампанії.
• Доставка корисного навантаження : використовує спеціальний механізм дешифрування з використанням генератора псевдовипадкових чисел для полегшення завантаження та виконання функцій.
• Перенаправлення потоку виконання : маніпулює потоками процесу та впроваджує кодові ін’єкції для перенаправлення виконання на розшифровану збірку .NET, у якій міститься основне шкідливе програмне забезпечення.

Останній етап заплутаного ланцюжка атак Turla розгортається з активацією Kazuar, універсального троянського коня, який був основним продуктом в арсеналі Turla з моменту його розкопки в 2017 році. Дослідники помітили незначні, але значущі досягнення в розгортанні Kazuar, підкреслюючи новий протокол для даних ексфільтрація та розбіжності в каталозі журналу - достатні відхилення, щоб відрізнити новий варіант від його попередників.