國外研究報告指出俄羅斯在東歐開展間諜活動
5月23日,SEKOIA.IO威脅與檢測研究團隊在其網站上發布了一則博客,聲稱觀察到有俄羅斯背景的Turla APT組織針對波羅的海國防學院、奧地利經濟商會(參與經濟制裁等政府決策)以及北約電子學習平臺JDAL(聯合高級分布式學習)進行的偵察和間諜活動。
據稱,Turla APT(又名Snake、Uroburos、Waterbug、Venomous Bear、KRYPTON)是一個有悠久歷史的使用俄語的網絡間諜組織,由俄羅斯聯邦安全局(FSB)運營。該組織以針對外交部和國防部組織而聞名。包括五角大樓、美國國務院、美國中央司令部以及歐洲政府實體等在內的多個知名政府機構都曾是其受害者。
SEKOIA.IO研究人員的調查研究是在谷歌威脅分析小組(TAG)的一份報告“東歐網絡活動更新”(該報告詳細介紹了民族國家行為者在東歐的活動)基礎之上進行的擴展。
在研究人員發現的每個目錄中,都存在相同的word文檔“War Bulletin 19.00 CET 27.04”。這些文檔通過file /word/_rels/document.rels.xml 中定義的遠程文件包含請求文件。有意思的是,對文件的請求是通過HTTP協議而不是SMB包含來執行的。因此,此活動不利用任何惡意代碼,目的僅是偵測。
由文檔對其控制的服務器執行的HTTP請求,攻擊者可以獲取受害者使用的Word應用程序的版本和類型。研究人員表示這意味著攻擊者可以為特定的Microsoft Word版本發送量身定制的漏洞利用。此外,研究人員還表示攻擊者可以獲取受害者的IP地址,從而通過TURLA的SIGINT功能監控受害者的通信。
博客鏈接:
https://blog.sekoia.io/turla-new-phishing-campaign-eastern-europe/
資訊來源:SEKOIA.IO
轉載請注明出處和本文鏈接
每日漲知識
差異備份(Differential Backup)
一種備份類型,存儲那些自從最近一次完整備份以來被修改過的所有文件。
