近日，網(wǎng)絡(luò)安全公司Sekoia有一項(xiàng)新發(fā)現(xiàn)：由俄羅斯政府支持的黑客組織“圖拉”(Turla)正在對(duì)奧地利經(jīng)濟(jì)商會(huì)、北約平臺(tái)、波羅的海國(guó)防學(xué)院(Baltic Defense College)發(fā)動(dòng)一系列攻擊。這是Sekoia公司基于Google Tag先前工作的基礎(chǔ)上發(fā)現(xiàn)的，該公司自2022年以來(lái)一直密切關(guān)注著俄羅斯黑客的動(dòng)向。

2022年3月，Google就俄羅斯相關(guān)的攻擊活動(dòng)向公眾發(fā)布了一次預(yù)警，后來(lái)在5月，他們發(fā)現(xiàn)在這些攻擊活動(dòng)中有兩起使用的是“圖拉”組織的域。Sekoia公司就這些信息開(kāi)展了進(jìn)步一的調(diào)查研究，他們發(fā)現(xiàn)“圖拉”的目標(biāo)是奧地利的聯(lián)邦組織機(jī)構(gòu)和波羅的海地區(qū)的軍事學(xué)院。

關(guān)于“圖拉”組織

“圖拉”是一個(gè)使用俄語(yǔ)的網(wǎng)絡(luò)間諜威脅組織，外界普通推測(cè)其與俄羅斯聯(lián)邦安全局(FSB)有密切聯(lián)系。該組織至少?gòu)?014年就開(kāi)始運(yùn)作，曾對(duì)多個(gè)國(guó)家的眾多組織機(jī)構(gòu)都產(chǎn)生過(guò)威脅。

他們?cè)槍?duì)全球Microsoft Exchange服務(wù)器部署后門，劫持其他APT組織的基礎(chǔ)設(shè)施在中東進(jìn)行間諜活動(dòng)，還對(duì)亞美尼亞的目標(biāo)進(jìn)行水坑攻擊。

最近，“圖拉”又被發(fā)現(xiàn)利用多種后門和遠(yuǎn)程訪問(wèn)木馬攻擊歐盟各國(guó)的政府、大使館和重要機(jī)構(gòu)。

目標(biāo)鎖定歐洲

根據(jù)Sekoi的說(shuō)法，Google Tag共享的IP指向域“baltdefcol.webredirect[.]org”和“wkoinfo.webredirect[.]org”，分別誤植“baltdefcol.org”和“wko.at”。

第一個(gè)目標(biāo)，BALTDEFCOL，是位于愛(ài)沙尼亞的一所軍事學(xué)院，由愛(ài)沙尼亞、拉脫維亞和立陶宛共同運(yùn)營(yíng)，該學(xué)院是波羅的海戰(zhàn)略和業(yè)務(wù)研究中心，是北約和歐洲各國(guó)高級(jí)官員組織會(huì)議的地點(diǎn)，在俄烏日趨緊張的局勢(shì)中其重要意義不言而喻。

另一個(gè)目標(biāo)WKO (Wirtschaftskammer ?sterreich)是奧地利聯(lián)邦經(jīng)濟(jì)商會(huì)，在立法和經(jīng)濟(jì)制裁方面擔(dān)任國(guó)際顧問(wèn)的角色。

值得一提的是，奧地利在制裁俄羅斯問(wèn)題上一直保持中立立場(chǎng)。然而，“圖拉”迫切希望了解這一立場(chǎng)是否已經(jīng)發(fā)生變化。

此外，Sekoia 還注意到另一個(gè)誤植域名“jadlactnato.webredirect[.]org”，這是北約聯(lián)合高級(jí)分布式學(xué)習(xí)平臺(tái)的電子學(xué)習(xí)門戶網(wǎng)站。

執(zhí)行偵察任務(wù)

這些誤植域名被用于托管一個(gè)名為“War Bulletin 19.00 CET 27.04.docx”的惡意word文檔，該文檔存在于在那些受攻擊網(wǎng)站的不同目錄中。在這個(gè)word文檔中包含一個(gè)嵌入的png文件，它會(huì)在文檔加載時(shí)進(jìn)行檢索。由于word文檔不包含任何惡意宏或行為，因此Sekoia的研究人員很自然地認(rèn)為這個(gè)png文件是用來(lái)執(zhí)行偵察任務(wù)的。

“由于文檔向其自己控制的服務(wù)器發(fā)出http請(qǐng)求，攻擊者可以獲得受害者使用的word軟件的版本和類型——這就使得攻擊者根據(jù)Microsoft Word的版本而進(jìn)行特定針對(duì)性的漏洞利用成為了可能”，Sekoia的報(bào)告中如此寫道。

此外，“圖拉”還可以訪問(wèn)受害者的IP地址，這將有助于他們的后續(xù)攻擊。為了使防御者能夠檢測(cè)到該攻擊活動(dòng)，Sekoia特意提供了以下Yara規(guī)則：

參考來(lái)源：https://www.bleepingcomputer.com/news/security/russian-hackers-perform-reconnaissance-against-austria-estonia/