首页 > 安全 > 正文

俄罗斯与俄罗斯的Turla APT针对奥地利,爱沙尼亚和北约平台

最后更新 :2022.05.24

俄罗斯与APT集团Turla相关的目标是针对北约电子学习平台的奥地利经济会议厅和波罗的海国防学院。

Sekoia.io.io Thravy&amp&检测研究(TDR)团队已经揭示了由俄罗斯与俄罗斯与俄罗斯有联系的Turla Apt进行的侦察和间谍活动,针对波罗的海国防学院,旨在涉及波罗的海国防学院,奥地利经济商会 (参与了政府决策,例如经济制裁)和&nbspp;北约的电子学习平台JDAL(联合高级分布式学习)。

  turla  apt group(aka  snake,  uroburos,  waterbug,  vitrob  withomous bear  and  krypton with  krypton至少自从2004年的私人组织和私人企业都积极主动,并在2004年既有私人组织,又有私人业务。中东,亚洲,欧洲,北美和南美以及前苏联集团国家。

先前已知的受害者清单很长,还包括五角大楼,瑞士国防部RUAG,美国国务院,欧洲政府实体和美国中央司令部。

Sekoia研究人员在发布Google的威胁分析小组(TAG)报告“关于东欧的网络活动的最新信息”,详细介绍了民族国家参与者对东欧的活动。

研究人员研究了Turla的基础设施 从标签报告中的域名开始:

Wkoinfo.Webredirect [Webredirect [。123]

专家在每个目录中发现了“ WAR公告4月27日,19:00 cet”,该文档包括一个外部PNG文件,该文件被称为徽标。123]纪录片t不包含任何恶意宏,这种情况暗示使用PNG用于侦察目的。

非常有趣的是,对文件的请求是通过HTTP协议执行的,而不是SMB的包含。因此,该活动不利用任何恶意代码,而是仅用于侦察目的。阅读专家发布的分析。得益于该文档对其自己受控服务器进行的HTTP请求,攻击者可以获取受害者使用的版本和单词应用程序的类型 - 这是一个有趣的信息,可以为特定的Microsoft Word版本发送量身定制的利用。此外,攻击者可以抓住受害者的IP地址,这也是一个有趣的选择者,可以通过Turla的Sigint功能来监视受害者的通讯。

研究人员共享这些攻击的指标(IOC),以实现这些攻击的指标。与Yara Rule一起。

SECURity Affect是2022年欧洲最佳网络安全博客奖的决赛入围者之一 - 投票给您的获奖者。我请您再次为我投票(即使您已经做过),因为这项投票是为决赛投票。

请在每个类别中投票支持安全事务和Pierluigi Paganini包括它们(例如,“弱者 - 最佳个人(非商业)安全博客”和“ Tech Whiz - 最佳技术博客”)

提名,请访问:

https://docs.google.com/forms/d/e/1faipqlsdndzjvtomsq36ykihqwwhma90sr0e9rllndflz3cu_gvi2axw/decu_gvi2axw/view/view/view form

- END -

看更多