国外研究报告指出俄罗斯在东欧开展间谍活动

资讯作者：看雪学院 2022-05-25 20:00:07 阅读：431

编辑：左右里

5月23日，SEKOIA.IO威胁与检测研究团队在其网站上发布了一则博客，声称观察到有俄罗斯背景的Turla APT组织针对波罗的海国防学院、奥地利经济商会（参与经济制裁等政府决策）以及北约电子学习平台JDAL（联合高级分布式学习）进行的侦察和间谍活动。

据称，Turla APT（又名Snake、Uroburos、Waterbug、Venomous Bear、KRYPTON）是一个有悠久历史的使用俄语的网络间谍组织，由俄罗斯联邦安全局（FSB）运营。该组织以针对外交部和国防部组织而闻名。包括五角大楼、美国国务院、美国中央司令部以及欧洲政府实体等在内的多个知名政府机构都曾是其受害者。

SEKOIA.IO研究人员的调查研究是在谷歌威胁分析小组（TAG）的一份报告“东欧网络活动更新”（该报告详细介绍了民族国家行为者在东欧的活动）基础之上进行的扩展。

在研究人员发现的每个目录中，都存在相同的word文档“War Bulletin 19.00 CET 27.04”。这些文档通过file /word/_rels/document.rels.xml 中定义的远程文件包含请求文件。有意思的是，对文件的请求是通过HTTP协议而不是SMB包含来执行的。因此，此活动不利用任何恶意代码，目的仅是侦测。

由文档对其控制的服务器执行的HTTP请求，攻击者可以获取受害者使用的Word应用程序的版本和类型。研究人员表示这意味着攻击者可以为特定的Microsoft Word版本发送量身定制的漏洞利用。此外，研究人员还表示攻击者可以获取受害者的IP地址，从而通过TURLA的SIGINT功能监控受害者的通信。

博客链接：

https://blog.sekoia.io/turla-new-phishing-campaign-eastern-europe/

资讯来源：SEKOIA.IO

转载请注明出处和本文链接

每日涨知识

差异备份（Differential Backup）

一种备份类型，存储那些自从最近一次完整备份以来被修改过的所有文件。