近日，網絡安全公司Sekoia有一項新發現：由俄羅斯政府支持的黑客組織“圖拉”(Turla)正在對奧地利經濟商會、北約平臺、波羅的海國防學院(Baltic Defense College)發動一系列攻擊。這是Sekoia公司基于Google Tag先前工作的基礎上發現的，該公司自2022年以來一直密切關注著俄羅斯黑客的動向。

2022年3月，Google就俄羅斯相關的攻擊活動向公眾發布了一次預警，后來在5月，他們發現在這些攻擊活動中有兩起使用的是“圖拉”組織的域。Sekoia公司就這些信息開展了進步一的調查研究，他們發現“圖拉”的目標是奧地利的聯邦組織機構和波羅的海地區的軍事學院。

關于“圖拉”組織

“圖拉”是一個使用俄語的網絡間諜威脅組織，外界普通推測其與俄羅斯聯邦安全局(FSB)有密切聯系。該組織至少從2014年就開始運作，曾對多個國家的眾多組織機構都產生過威脅。

他們曾針對全球Microsoft Exchange服務器部署后門，劫持其他APT組織的基礎設施在中東進行間諜活動，還對亞美尼亞的目標進行水坑攻擊。

最近，“圖拉”又被發現利用多種后門和遠程訪問木馬攻擊歐盟各國的政府、大使館和重要機構。

目標鎖定歐洲

根據Sekoi的說法，Google Tag共享的IP指向域“baltdefcol.webredirect[.]org”和“wkoinfo.webredirect[.]org”，分別誤植“baltdefcol.org”和“wko.at”。

第一個目標，BALTDEFCOL，是位于愛沙尼亞的一所軍事學院，由愛沙尼亞、拉脫維亞和立陶宛共同運營，該學院是波羅的海戰略和業務研究中心，是北約和歐洲各國高級官員組織會議的地點，在俄烏日趨緊張的局勢中其重要意義不言而喻。

另一個目標WKO (Wirtschaftskammer ?sterreich)是奧地利聯邦經濟商會，在立法和經濟制裁方面擔任國際顧問的角色。

值得一提的是，奧地利在制裁俄羅斯問題上一直保持中立立場。然而，“圖拉”迫切希望了解這一立場是否已經發生變化。

此外，Sekoia 還注意到另一個誤植域名“jadlactnato.webredirect[.]org”，這是北約聯合高級分布式學習平臺的電子學習門戶網站。

執行偵察任務

這些誤植域名被用于托管一個名為“War Bulletin 19.00 CET 27.04.docx”的惡意word文檔，該文檔存在于在那些受攻擊網站的不同目錄中。在這個word文檔中包含一個嵌入的png文件，它會在文檔加載時進行檢索。由于word文檔不包含任何惡意宏或行為，因此Sekoia的研究人員很自然地認為這個png文件是用來執行偵察任務的。

“由于文檔向其自己控制的服務器發出http請求，攻擊者可以獲得受害者使用的word軟件的版本和類型——這就使得攻擊者根據Microsoft Word的版本而進行特定針對性的漏洞利用成為了可能”，Sekoia的報告中如此寫道。

此外，“圖拉”還可以訪問受害者的IP地址，這將有助于他們的后續攻擊。為了使防御者能夠檢測到該攻擊活動，Sekoia特意提供了以下Yara規則：

參考來源：https://www.bleepingcomputer.com/news/security/russian-hackers-perform-reconnaissance-against-austria-estonia/