Pelmeni Wrapper

Analytici kybernetické bezpečnosti odhalili novou kampaň Turla, která představuje inovativní strategie a personalizovanou adaptaci trojského koně Kazuar, distribuovanou prostřednictvím neznámého obalu jménem Pelmeni.

Turla , kybernetická špionážní skupina APT (Advanced Persistent Threat) napojená na ruskou FSB, je známá svým pečlivým zaměřováním a neochvějným operačním tempem. Od roku 2004 se Turla v celosvětovém měřítku zaměřila na vládní orgány, výzkumná zařízení, diplomatické mise a odvětví jako energetika, telekomunikace a farmacie.

Zkoumaná kampaň podtrhuje Turlovu zálibu v přesných úderech. Počáteční infiltrace pravděpodobně nastává prostřednictvím předchozích infekcí, po nichž následuje nasazení hrozivé DLL maskované ve zdánlivě autentických knihovnách z legitimních služeb nebo produktů. Pelmeni Wrapper zahájí načítání následného škodlivého užitečného zatížení.

Pelmeni Wrapper provádí několik ohrožujících funkcí

Pelmeni Wrapper předvádí následující funkce:

• Provozní protokolování : Generuje skrytý soubor protokolu s náhodnými názvy a příponami pro diskrétní sledování aktivit kampaně.
• Doručování užitečné zátěže : Využívá vlastní dešifrovací mechanismus využívající generátor pseudonáhodných čísel pro usnadnění načítání a provádění funkcí.
• Execution Flow Redirection : Manipuluje s procesními vlákny a zavádí vkládání kódu pro přesměrování provádění na dešifrované sestavení .NET, které obsahuje primární malware.

Finální fáze složitého útočného řetězce Turly se rozvine s aktivací Kazuara, všestranného trojského koně, který je základem v arzenálu Turly od jeho objevení v roce 2017. Výzkumníci pozorovali jemný, ale následný pokrok v nasazení Kazuaru, zdůrazňující nový protokol pro data. exfiltrace a nesrovnalosti v logovací adresáři - dostatečné odchylky pro odlišení novější varianty od jejích předchůdců.