近日,网络安全公司Sekoia有了新发现:俄罗斯政府支持的黑客组织“Turla”正以奥地利商会、北约平台为目标,与波罗的海国防学院(BalticDefenseCollege)展开连环攻击。这一发现建立在Sekoia的GoogleTag之前的工作基础上,Sekoia是一家自2022年以来一直密切关注俄罗斯黑客的公司。2022年3月,谷歌向公众发布了有关俄罗斯相关攻击的警报,5月下旬,他们发现其中两次攻击使用了“Tula”组织的域。塞科亚对这些信息进行了进一步研究,发现“图拉”的目标是奥地利的联邦机构和波罗的海地区的军事院校。关于“图拉”组织“图拉”是俄语网络间谍威胁组织,外界普遍猜测其与俄罗斯联邦安全局(FSB)关系密切。该组织至少从2014年开始运作,并威胁到多个国家的众多组织。他们在全球部署了针对MicrosoftExchange服务器的后门,在中东劫持了其他APT组织的基础设施进行间谍活动,并对亚美尼亚的目标进行了水坑攻击。近日,“图拉”被发现利用各种后门程序和远程访问木马攻击欧盟国家政府、大使馆和重要机构。针对欧洲根据Sekoi的说法,GoogleTag共享IP指向域“baltdefcol.webredirect[.]org”和“wkoinfo.webredirect[.]org”,它们分别错误植入了“baltdefcol.org”和“wko.at”。第一个目标,BALTDEFCOL,是爱沙尼亚的一所军事学院,由爱沙尼亚、拉脱维亚和立陶宛共同运营,该学院是波罗的海的战略和作战研究中心,是北约和欧洲国家高级官员的聚会场所,在俄乌局势日益紧张的情况下,其意义不言而喻。WKO(Wirtschaftskammer?sterreich)的另一个目标是奥地利联邦商会,该商会充当立法和经济制裁方面的国际顾问。值得一提的是,奥地利在对俄制裁问题上一直保持中立立场。不过,“图拉”急切地想知道这一立场是否发生了变化。此外,Sekoia还注意到另一个错误植入的域名“jadlactnato.webredirect[.]org”,这是北约联合高级分布式学习平台的电子学习门户。这些域名被用来在这些受感染网站的不同目录中托管名为“WarBulletin19.00CET27.04.docx”的恶意Word文档,以执行侦察任务。在此word文档中包含一个嵌入的png文件,该文件在文档加载时检索。由于word文档不包含任何恶意宏或行为,Sekoia研究人员很自然地假设png文件用于侦察任务。“由于文档向其控制的服务器发送http请求,攻击者可以获得受害者使用的word软件的版本和类型——这使得攻击者可以根据MicrosoftWord的版本进行特定的针对性攻击”,阅读Sekoia的报告。此外,“Tula”还可以访问受害者的IP地址,这将有助于他们在后续的攻击中。为了让防御者检测到这种攻击,Sekoia提供了以下Yara规则:参考来源:https://www.bleepingcomputer.com/news/security/russian-hackers-perform-reconnaissance-against-austria-estonia/
