Envoltorio Pelmeni

Los analistas de ciberseguridad han descubierto una nueva campaña de Turla que muestra estrategias innovadoras y una adaptación personalizada del troyano Kazuar, distribuido a través de un envoltorio desconocido llamado Pelmeni.

Turla , un grupo de ciberespionaje APT (Amenaza persistente avanzada) vinculado al FSB ruso, es conocido por su meticulosa selección de objetivos y su ritmo operativo inquebrantable. Desde 2004, Turla se ha centrado en organismos gubernamentales, establecimientos de investigación, misiones diplomáticas y sectores como la energía, las telecomunicaciones y los productos farmacéuticos a escala global.

La campaña examinada subraya la inclinación de Turla por los golpes precisos. La infiltración inicial probablemente se produce a través de infecciones previas, seguidas por la implementación de una DLL amenazante camuflada dentro de bibliotecas aparentemente auténticas de servicios o productos legítimos. Pelmeni Wrapper inicia la carga de la carga útil dañina posterior.

El envoltorio Pelmeni ejecuta varias funciones amenazantes

Pelmeni Wrapper muestra las siguientes funcionalidades:

• Registro operativo : genera un archivo de registro oculto con nombres y extensiones aleatorios para monitorear las actividades de la campaña de manera discreta.
• Entrega de carga útil : utiliza un mecanismo de descifrado personalizado que emplea un generador de números pseudoaleatorios para facilitar la carga y ejecución de funciones.
• Redirección del flujo de ejecución : manipula los subprocesos del proceso e introduce inyecciones de código para redirigir la ejecución a un ensamblado .NET descifrado que alberga el malware principal.

La etapa final de la intrincada cadena de ataques de Turla se desarrolla con la activación de Kazuar, un caballo de Troya versátil que ha sido un elemento básico en el arsenal de Turla desde su descubrimiento en 2017. Los investigadores han observado avances sutiles pero trascendentales en el despliegue de Kazuar, destacando un protocolo novedoso para los datos. Exfiltración y discrepancias en el directorio de registro: desviaciones suficientes para distinguir la variante más nueva de sus predecesoras.