Emballage de Pelmeni

Les analystes de la cybersécurité ont découvert une nouvelle campagne Turla présentant des stratégies innovantes et une adaptation personnalisée du cheval de Troie Kazuar, distribuée via un wrapper inconnu nommé Pelmeni.

Turla , groupe de cyberespionnage APT (Advanced Persistent Threat) lié au FSB russe, est réputé pour son ciblage minutieux et son rythme opérationnel inébranlable. Depuis 2004, Turla s'est concentrée sur les organismes gouvernementaux, les établissements de recherche, les missions diplomatiques et des secteurs comme l'énergie, les télécommunications et les produits pharmaceutiques à l'échelle mondiale.

La campagne examinée souligne le penchant de Turla pour les frappes précises. L'infiltration initiale se produit probablement via des infections antérieures, suivies du déploiement d'une DLL menaçante camouflée dans des bibliothèques apparemment authentiques provenant de services ou de produits légitimes. Le Pelmeni Wrapper lance le chargement de la charge utile nuisible suivante.

Le Pelmeni Wrapper exécute plusieurs fonctions menaçantes

Le Pelmeni Wrapper présente les fonctionnalités suivantes :

• Journalisation opérationnelle : génère un fichier journal caché avec des noms et des extensions aléatoires pour surveiller discrètement les activités de campagne.
• Payload Delivery : utilise un mécanisme de décryptage sur mesure utilisant un générateur de nombres pseudo-aléatoires pour faciliter le chargement et l'exécution des fonctions.
• Redirection du flux d'exécution : manipule les threads de processus et introduit des injections de code pour rediriger l'exécution vers un assembly .NET déchiffré hébergeant le malware principal.

La dernière étape de la chaîne d'attaque complexe de Turla se déroule avec l'activation de Kazuar, un cheval de Troie polyvalent qui constitue un élément essentiel de l'arsenal de Turla depuis sa découverte en 2017. Les chercheurs ont observé des avancées subtiles mais conséquentes dans le déploiement de Kazuar, mettant en évidence un nouveau protocole de gestion des données. exfiltration et divergences dans le répertoire de journalisation - écarts suffisants pour distinguer la variante la plus récente de ses prédécesseurs.