奥地利、爱沙尼亚重要机构或正成为俄黑客目标

安全 黑客攻防
由俄罗斯政府支持的黑客组织“图拉”(Turla)正在对奥地利经济商会、北约平台、波罗的海国防学院发动一系列攻击。

近日,网络安全公司Sekoia有一项新发现:由俄罗斯政府支持的黑客组织“图拉”(Turla)正在对奥地利经济商会、北约平台、波罗的海国防学院(Baltic Defense College)发动一系列攻击。这是Sekoia公司基于Google Tag先前工作的基础上发现的,该公司自2022年以来一直密切关注着俄罗斯黑客的动向。

2022年3月,Google就俄罗斯相关的攻击活动向公众发布了一次预警,后来在5月,他们发现在这些攻击活动中有两起使用的是“图拉”组织的域。Sekoia公司就这些信息开展了进步一的调查研究,他们发现“图拉”的目标是奥地利的联邦组织机构和波罗的海地区的军事学院。

关于“图拉”组织

“图拉”是一个使用俄语的网络间谍威胁组织,外界普通推测其与俄罗斯联邦安全局(FSB)有密切联系。该组织至少从2014年就开始运作,曾对多个国家的众多组织机构都产生过威胁。

他们曾针对全球Microsoft Exchange服务器部署后门,劫持其他APT组织的基础设施在中东进行间谍活动,还对亚美尼亚的目标进行水坑攻击。

最近,“图拉”又被发现利用多种后门和远程访问木马攻击欧盟各国的政府、大使馆和重要机构。

目标锁定欧洲

根据Sekoi的说法,Google Tag共享的IP指向域“baltdefcol.webredirect[.]org”和“wkoinfo.webredirect[.]org”,分别误植“baltdefcol.org”和“wko.at”。

第一个目标,BALTDEFCOL,是位于爱沙尼亚的一所军事学院,由爱沙尼亚、拉脱维亚和立陶宛共同运营,该学院是波罗的海战略和业务研究中心,是北约和欧洲各国高级官员组织会议的地点,在俄乌日趋紧张的局势中其重要意义不言而喻。

另一个目标WKO (Wirtschaftskammer Österreich)是奥地利联邦经济商会,在立法和经济制裁方面担任国际顾问的角色。

值得一提的是,奥地利在制裁俄罗斯问题上一直保持中立立场。然而,“图拉”迫切希望了解这一立场是否已经发生变化。

此外,Sekoia 还注意到另一个误植域名“jadlactnato.webredirect[.]org”,这是北约联合高级分布式学习平台的电子学习门户网站。

执行侦察任务

这些误植域名被用于托管一个名为“War Bulletin 19.00 CET 27.04.docx”的恶意word文档,该文档存在于在那些受攻击网站的不同目录中。在这个word文档中包含一个嵌入的png文件,它会在文档加载时进行检索。由于word文档不包含任何恶意宏或行为,因此Sekoia的研究人员很自然地认为这个png文件是用来执行侦察任务的。

“由于文档向其自己控制的服务器发出http请求,攻击者可以获得受害者使用的word软件的版本和类型——这就使得攻击者根据Microsoft Word的版本而进行特定针对性的漏洞利用成为了可能”,Sekoia的报告中如此写道。

此外,“图拉”还可以访问受害者的IP地址,这将有助于他们的后续攻击。为了使防御者能够检测到该攻击活动,Sekoia特意提供了以下Yara规则:

参考来源:https://www.bleepingcomputer.com/news/security/russian-hackers-perform-reconnaissance-against-austria-estonia/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2016-10-18 14:36:46

2022-02-25 12:00:06

恶意软件网络攻击黑客

2021-02-28 21:45:48

数字货币比特币金融

2022-02-25 17:21:05

黑客网络安全网络攻击

2024-04-29 14:45:20

ChatGPT

2020-06-01 07:46:06

数据泄露数据安全黑客

2024-12-09 13:04:05

2020-07-13 08:13:14

网络安全漏洞技术

2010-08-17 10:40:32

2022-01-24 14:05:04

加密货币数字资产技术

2022-04-06 18:52:57

网络钓鱼网络攻击网络间谍

2012-07-27 11:02:32

打印机

2020-05-11 08:22:17

数据安全黑客安全

2013-08-15 10:09:38

2013-02-28 09:57:32

2023-08-03 17:40:02

2013-07-26 10:53:39

2022-07-07 10:27:49

黑客勒索软件攻击

2020-03-02 21:41:06

物联网黑客智慧城市

2023-01-03 13:39:38

点赞
收藏

51CTO技术栈公众号