TURLA APT IOCs

security IOC
Опубликовано

Команда SEKOIA.IO Threat & Detection Research (TDR) расширила поиск по связанным с  TURLA из сообщения в блоге Google TAG. Это раскрывает кампанию разведки и шпионажа с помощью вторжения Turla против Балтийского оборонного колледжа, Австрийской экономической палаты, которая играет роль в принятии правительственных решений, таких как экономические санкции, и платформы электронного обучения НАТО JDAL (Joint Advanced Distributed Learning).

Содержание
  1. TURLA APT
  2. Indicators of Compromise
  3. IPv4
  4. Domains
  5. MD5

TURLA APT

Исследователи SEKOIA.IO расширили исследование инфраструктур TURLA за счет доменов, указанных в отчете TAG:

  • wkoinfo.webredirect.org
  • jadlactnato.webredirect.org

Оба домена разрешают IP 79.110.52.218, что не позволяет провести дополнительное расследование, но первый домен раскрывает 45.153.241.162, который может быть связан через сервисы Shodan с новым доменом baltdefcol.webredirect.org typosquatting www.baltdefcol.org, сайтом Балтийского оборонного колледжа.

В каждом обнаруженном каталоге SEKOIA.IO нашли один и тот же документ word "War Bulletin April 27, 19:00 CET", который выглядел легитимным, но содержал включение внешнего PNG файла под названием logo.png, который не был доступен во время расследования.

SEKOIA.IO также обратили внимание на wkoinfo.webredirect.org, который опечатывает wko.at, официальный сайт Федеральной экономической палаты Австрии (Wirtschaftskammer Österreich, WKO). Исследованные вредоносные домены и каталоги поддоменов выдавали один и тот же документ word: "23.03.2022 : Neue USA Exportkontrolen und Sanktionen: Fokus Russland - Was müssen österreichische Unternehmen jetzt beachten? - WKO.at".

SEKOIA.IO отметили, что jadlactnato.webredirect.org - это опечатка названия NATO Joint Advanced Distributed Learning, платформы электронного обучения, размещенной на сайте https://jadl.act.nato.int, которая была создана для исследования и предоставления образования и обучения для военных НАТО и правительственных или официальных лиц НАТО.

Эти документы запрашивают файл PNG благодаря удаленному включению файла, определенному в файле /word/_rels/document.rels.xml. Интересно, что запрос к файлу осуществляется по протоколу HTTP, а не по SMB-включению. Таким образом, данная кампания не содержит вредоносного кода, а использовалась исключительно в разведывательных целях.

Благодаря HTTP-запросу, выполняемому документом к собственному контролируемому серверу, злоумышленник может узнать версию и тип приложения Word, используемого жертвой, что может стать интересной информацией для отправки специализированного эксплойта для конкретной версии Microsoft Word.

Кроме того, злоумышленник может получить IP-адрес жертвы, который также может быть интересным селектором для мониторинга коммуникаций жертвы с помощью SIGINT-возможностей TURLA.

Indicators of Compromise

IPv4

  • 45.153.241.162
  • 79.110.52.218
  • 149.154.157.11

Domains

  • baltdefcol.webredirect.org
  • wkoinfo.webredirect.org
  • jadlactnato.webredirect.org

MD5

  • f6e755e2af0231a614975d64ea3c8116
  • f223e046dd4e3f98bfeb1263a78ff080

Похожие записи:

  1. DangerousSavanna APT IOCs
  2. Scarlet Mimic APT IOCs
  3. Metador APT IOCs
  4. Fancy Bear (APT28) APT IOCs - Part 2
  5. TA413 APT IOCs
APT TURLA
Добавить комментарий