freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    奥地利、爱沙尼亚重要机构或正成为俄黑客目标
    2022-05-24 15:31:28
    所属地 上海

    1653376732_628c86dc279b28dfc7725.png!small?1653376733808

    近日,网络安全公司Sekoia有一项新发现:由俄罗斯政府支持的黑客组织“图拉”(Turla)正在对奥地利经济商会、北约平台、波罗的海国防学院(Baltic Defense College)发动一系列攻击。这是Sekoia公司基于Google Tag先前工作的基础上发现的,该公司自2022年以来一直密切关注着俄罗斯黑客的动向。

    2022年3月,Google就俄罗斯相关的攻击活动向公众发布了一次预警,后来在5月,他们发现在这些攻击活动中有两起使用的是“图拉”组织的域。Sekoia公司就这些信息开展了进步一的调查研究,他们发现“图拉”的目标是奥地利的联邦组织机构和波罗的海地区的军事学院。

    关于“图拉”组织

    “图拉”是一个使用俄语的网络间谍威胁组织,外界普通推测其与俄罗斯联邦安全局(FSB)有密切联系。该组织至少从2014年就开始运作,曾对多个国家的众多组织机构都产生过威胁。

    他们曾针对全球Microsoft Exchange服务器部署后门,劫持其他APT组织的基础设施在中东进行间谍活动,还对亚美尼亚的目标进行水坑攻击。

    最近,“图拉”又被发现利用多种后门和远程访问木马攻击欧盟各国的政府、大使馆和重要机构。

    目标锁定欧洲

    根据Sekoi的说法,Google Tag共享的IP指向域“baltdefcol.webredirect[.]org”和“wkoinfo.webredirect[.]org”,分别误植“baltdefcol.org”和“wko.at”。

    第一个目标,BALTDEFCOL,是位于爱沙尼亚的一所军事学院,由爱沙尼亚、拉脱维亚和立陶宛共同运营,该学院是波罗的海战略和业务研究中心,是北约和欧洲各国高级官员组织会议的地点,在俄乌日趋紧张的局势中其重要意义不言而喻。

    另一个目标WKO (Wirtschaftskammer Österreich)是奥地利联邦经济商会,在立法和经济制裁方面担任国际顾问的角色。

    值得一提的是,奥地利在制裁俄罗斯问题上一直保持中立立场。然而,“图拉”迫切希望了解这一立场是否已经发生变化。

    此外,Sekoia 还注意到另一个误植域名“jadlactnato.webredirect[.]org”,这是北约联合高级分布式学习平台的电子学习门户网站。

    执行侦察任务

    这些误植域名被用于托管一个名为“War Bulletin 19.00 CET 27.04.docx”的恶意word文档,该文档存在于在那些受攻击网站的不同目录中。在这个word文档中包含一个嵌入的png文件,它会在文档加载时进行检索。由于word文档不包含任何恶意宏或行为,因此Sekoia的研究人员很自然地认为这个png文件是用来执行侦察任务的。

    “由于文档向其自己控制的服务器发出http请求,攻击者可以获得受害者使用的word软件的版本和类型——这就使得攻击者根据Microsoft Word的版本而进行特定针对性的漏洞利用成为了可能”,Sekoia的报告中如此写道。

    此外,“图拉”还可以访问受害者的IP地址,这将有助于他们的后续攻击。为了使防御者能够检测到该攻击活动,Sekoia特意提供了以下Yara规则:

    1653377300_628c8914de7590dede394.png!small?1653377302216

    参考来源:

    https://www.bleepingcomputer.com/news/security/russian-hackers-perform-reconnaissance-against-austria-estonia/

    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者
    文章目录