Σε μια νέα εκστρατεία reconnaissance, η ρωσική κρατική ομάδα hacking Turla παρατηρήθηκε να στοχεύει το Αυστριακό Οικονομικό Επιμελητήριο, μια πλατφόρμα του ΝΑΤΟ και το Κολέγιο Άμυνας της Βαλτικής.
Αυτή η ανακάλυψη προέρχεται από την εταιρεία κυβερνοασφάλειας Sekoia, η οποία βασίστηκε σε προηγούμενα ευρήματα του TAG της Google, που φέτος παρακολουθούσε Ρώσους χάκερ.
Η Google προειδοποίησε για συντονισμένη δραστηριότητα απειλητικών ομάδων που έχουν ως βάση τους την Ρωσία στα τέλη Μαρτίου 2022, ενώ τον Μάιο, εντόπισε δύο domains Turla που χρησιμοποιούνται σε τρέχουσες καμπάνιες.
Η Sekoia χρησιμοποίησε αυτές τις πληροφορίες για να τις διερευνήσει περαιτέρω και διαπίστωσε ότι η Turla είχε ως στόχο την ομοσπονδιακή οργάνωση στην Αυστρία και το στρατιωτικό κολέγιο στην περιοχή της Βαλτικής.
Δείτε επίσης: Επίθεση ransomware σε σχολείο του Σικάγο αποκαλύπτει δεδομένα 500.000 μαθητών
Ποια είναι η Turla
Η Turla είναι μια ρωσόφωνη ομάδα κυβερνοκατασκοπείας που πιστεύεται ότι έχει ισχυρούς δεσμούς με την υπηρεσία FSB της Ρωσικής Ομοσπονδίας. Λειτουργεί τουλάχιστον από το 2014, παραβιάζοντας ένα ευρύ φάσμα οργανισμών σε πολλές χώρες.
Στο παρελθόν είχαν στοχεύσει servers Microsoft Exchange σε όλο τον κόσμο για να αναπτύξουν backdoors, είχαν κάνει hijack την υποδομή άλλων APT για να πραγματοποιήσουν κατασκοπεία στη Μέση Ανατολή και είχαν πραγματοποιήσει επιθέσεις κατά αρμενικών στόχων.
Πιο πρόσφατα, η Turla εθεάθη να χρησιμοποιεί μια ποικιλία από backdoors και trojans απομακρυσμένης πρόσβασης εναντίον κυβερνήσεων και πρεσβειών της ΕΕ και σημαντικών ερευνητικών εγκαταστάσεων.
Δείτε επίσης: Συνημμένα PDF αρχεία, με ενσωματωμένα έγγραφα Word, διανέμουν malware
Ευρωπαϊκοί στόχοι
Σύμφωνα με την Sekoia, οι IP που μοιράζονται το TAG της Google οδηγούν στα domains “baltdefcol.webredirect[.]org” και “wkoinfo.webredirect[.]org”, τα οποία αντιστοίχως κάνουν typo-squat “baltdefcol.org” και “wko.at”. ”
Ο πρώτος στόχος, το BALTDEFCOL, είναι ένα στρατιωτικό κολέγιο που βρίσκεται στην Εσθονία και λειτουργεί από την Εσθονία, τη Λετονία και τη Λιθουανία, και λειτουργεί ως κέντρο στρατηγικής και επιχειρησιακής έρευνας στη Βαλτική.
Το κολέγιο διοργανώνει και συνέδρια στα οποία συμμετέχουν υψηλόβαθμοι αξιωματικοί του ΝΑΤΟ και διαφόρων ευρωπαϊκών χωρών, επομένως έχει ιδιαίτερη σημασία για τη Ρωσία στη συνεχιζόμενη σύγκρουση στην Ουκρανία και στις εντάσεις στα ρωσικά σύνορα.
Το WKO (Wirtschaftskammer Österreich) είναι το Ομοσπονδιακό Οικονομικό Επιμελητήριο της Αυστρίας, το οποίο λειτουργεί ως διεθνής σύμβουλος για τη νομοθεσία και τις οικονομικές κυρώσεις.
Η Αυστρία έχει διατηρήσει ουδέτερη στάση όσον αφορά τις κυρώσεις κατά της Ρωσίας. Ωστόσο, η Turla θα ήθελε να είναι από τους πρώτους που θα μάθει αν θα αλλάξει κάτι σε αυτό το μέτωπο.
Η Sekoia εντόπισε και ένα τρίτο typo-squat domain, “jadlactnato.webredirect[.]org”, το οποίο επιχειρεί να περάσει ως e-learning portal της πλατφόρμας Joint Advanced Distributed Learning του ΝΑΤΟ.
Δείτε επίσης: GoodWill ransomware: Στόχος του τα θύματα να κάνουν δωρεές σε φτωχούς
Εκτέλεση αναγνώρισης
Τα typosquatting domains χρησιμοποιούνται για να φιλοξενήσουν ένα κακόβουλο έγγραφο του Word με το όνομα “War Bulletin 19.00 CET 27.04.docx”, που βρίσκεται σε διάφορους καταλόγους αυτών των sites.
Αυτό το αρχείο περιέχει ένα ενσωματωμένο PNG (logo.png), το οποίο ανακτάται κατά τη φόρτωση του εγγράφου. Το αρχείο Word δεν περιέχει κακόβουλες μακροεντολές ή συμπεριφορά, κάνοντας την Sekoia να πιστεύει ότι το PNG χρησιμοποιείται για την εκτέλεση reconnaissance.
Επιπλέον, η Turla αποκτά πρόσβαση στη διεύθυνση IP του θύματος, κάτι που θα ήταν χρήσιμο σε επόμενες φάσεις της επίθεσης.
Για να επιτρέψει στους υπερασπιστές να ανιχνεύουν αυτήν τη δραστηριότητα, η Sekoia έχει παράσχει τον ακόλουθο κανόνα Yara:
Πηγή πληροφοριών: bleepingcomputer.com
