俄罗斯黑客组织对奥地利、爱沙尼亚重要机构进行攻击

近日，网络安全公司Sekoia发现，奥地利经济商会、北约平台、波罗的海国防学院（Baltic Defense College）遭到俄罗斯黑客组织“图拉”（Turla）的网络攻击。Sekoia公司从2022年以来一直关注俄罗斯黑客的动向，而这次的新发现也是基于Google Tag先前工作的基础上。

关于Turla黑客组织

Turla是一个使用俄语的网络间谍威胁组织，外界普通推测其与俄罗斯联邦安全局（FSB）有密切联系。这个黑客组织从2014年就开始运作，并且对多个国家的众多组织机构都进行过攻击。

他们曾针对全球Microsoft Exchange服务器部署后门，劫持其他APT组织的基础设施在中东进行间谍活动，还对亚美尼亚的目标进行水坑攻击。最近，Turla又被发现利用多种后门和远程访问木马攻击欧盟各国的政府、大使馆和重要机构。

锁定欧洲作为目标

据网络安全公司的说法，Google Tag共享的IP指向域“baltdefcol.webredirect[.]org”和“wkoinfo.webredirect[.]org”，分别误植“baltdefcol.org”和“wko.at”。

第一个目标

BALTDEFCOL，是位于爱沙尼亚的一所军事学院，由爱沙尼亚、拉脱维亚和立陶宛共同运营。这个院是波罗的海战略和业务研究中心，是北约和欧洲各国高级官员组织会议的地点，在俄乌日趋紧张的局势中其重要意义不言而喻。

第二个目标

WKO （Wirtschaftskammer Österreich）是奥地利联邦经济商会，在立法和经济制裁方面担任国际顾问的角色。由于奥地利在制裁俄罗斯问题上一直保持中立立场，而Turla迫切希望了解这一立场是否已经发生变化。

此外，Sekoia 还注意到另一个误植域名“jadlactnato.webredirect[.]org”，这是北约联合高级分布式学习平台的电子学习门户网站。

执行侦察任务

这些误植域名被用于托管一个名为“War Bulletin 19.00 CET 27.04.docx”的恶意word文档，该文档存在于在那些受攻击网站的不同目录中。在这个word文档中包含一个嵌入的png文件，它会在文档加载时进行检索。由于word文档不包含任何恶意宏或行为，因此Sekoia的研究人员很自然地认为这个png文件是用来执行侦察任务的。

Sekoia在报告中写道，“由于文档向其自己控制的服务器发出http请求，攻击者可以获得受害者使用的word软件的版本和类型——这就使得攻击者根据Microsoft Word的版本而进行特定针对性的漏洞利用成为了可能”。

Turla还可以访问受害者的IP地址，这将有助于他们的后续攻击。为了使防御者能够检测到该攻击活动，Sekoia特意提供了以下Yara规则：

Turla还可以访问受害者的IP地址，这将有助于他们的后续攻击。为了使防御者能够检测到该攻击活动，信息空间战争应用的范围更广，因此对人们的正常生活带来很大的影响。企业机构组织应加强网络安全防范意识，做好适当的防护措施，以确保企业的数据安全和资产安全。