Pelmeni-Wrapper

Cybersicherheitsanalysten haben eine neue Turla-Kampagne entdeckt, die innovative Strategien und eine personalisierte Adaption des Kazuar-Trojaners vorstellt und über einen unbekannten Wrapper namens Pelmeni verbreitet wird.

Turla , eine mit dem russischen FSB verbundene Cyberspionage-APT-Gruppe (Advanced Persistent Threat), ist bekannt für ihre akribische Zielgenauigkeit und ihr unerschütterliches operatives Tempo. Seit 2004 konzentriert sich Turla auf Regierungsbehörden, Forschungseinrichtungen, diplomatische Vertretungen und Sektoren wie Energie, Telekommunikation und Pharma auf globaler Ebene.

Die untersuchte Kampagne unterstreicht Turlas Vorliebe für präzise Schläge. Die anfängliche Infiltration erfolgt wahrscheinlich durch frühere Infektionen, gefolgt von der Bereitstellung einer bedrohlichen DLL, die in scheinbar authentischen Bibliotheken legitimer Dienste oder Produkte getarnt ist. Der Pelmeni Wrapper leitet das Laden der nachfolgenden schädlichen Nutzlast ein.

Der Pelmeni-Wrapper führt mehrere bedrohliche Funktionen aus

Der Pelmeni Wrapper bietet die folgenden Funktionen:

• Betriebsprotokollierung : Erstellt eine verborgene Protokolldatei mit zufälligen Namen und Erweiterungen, um Kampagnenaktivitäten diskret zu überwachen.
• Nutzlastlieferung : Nutzt einen maßgeschneiderten Entschlüsselungsmechanismus mit einem Pseudozufallszahlengenerator, um das Laden und Ausführen von Funktionen zu erleichtern.
• Umleitung des Ausführungsflusses : Manipuliert Prozessthreads und führt Code-Injektionen ein, um die Ausführung an eine entschlüsselte .NET-Assembly umzuleiten, die die primäre Malware enthält.

Die letzte Phase von Turlas komplexer Angriffskette beginnt mit der Aktivierung von Kazuar, einem vielseitigen Trojanischen Pferd, das seit seiner Entdeckung im Jahr 2017 ein fester Bestandteil von Turlas Arsenal ist. Forscher haben subtile, aber folgenreiche Fortschritte bei Kazuars Einsatz beobachtet, die ein neuartiges Protokoll für Daten hervorheben Exfiltration und Unstimmigkeiten im Protokollierungsverzeichnis – ausreichende Abweichungen, um die neuere Variante von ihren Vorgängern zu unterscheiden.