Команда SEKOIA.IO Threat & Detection Research (TDR) расширила поиск по связанным с TURLA из сообщения в блоге Google TAG. Это раскрывает кампанию разведки и шпионажа с помощью вторжения Turla против Балтийского оборонного колледжа, Австрийской экономической палаты, которая играет роль в принятии правительственных решений, таких как экономические санкции, и платформы электронного обучения НАТО JDAL (Joint Advanced Distributed Learning).
TURLA APT
Исследователи SEKOIA.IO расширили исследование инфраструктур TURLA за счет доменов, указанных в отчете TAG:
- wkoinfo.webredirect.org
- jadlactnato.webredirect.org
Оба домена разрешают IP 79.110.52.218, что не позволяет провести дополнительное расследование, но первый домен раскрывает 45.153.241.162, который может быть связан через сервисы Shodan с новым доменом baltdefcol.webredirect.org typosquatting www.baltdefcol.org, сайтом Балтийского оборонного колледжа.
В каждом обнаруженном каталоге SEKOIA.IO нашли один и тот же документ word "War Bulletin April 27, 19:00 CET", который выглядел легитимным, но содержал включение внешнего PNG файла под названием logo.png, который не был доступен во время расследования.
SEKOIA.IO также обратили внимание на wkoinfo.webredirect.org, который опечатывает wko.at, официальный сайт Федеральной экономической палаты Австрии (Wirtschaftskammer Österreich, WKO). Исследованные вредоносные домены и каталоги поддоменов выдавали один и тот же документ word: "23.03.2022 : Neue USA Exportkontrolen und Sanktionen: Fokus Russland - Was müssen österreichische Unternehmen jetzt beachten? - WKO.at".
SEKOIA.IO отметили, что jadlactnato.webredirect.org - это опечатка названия NATO Joint Advanced Distributed Learning, платформы электронного обучения, размещенной на сайте https://jadl.act.nato.int, которая была создана для исследования и предоставления образования и обучения для военных НАТО и правительственных или официальных лиц НАТО.
Эти документы запрашивают файл PNG благодаря удаленному включению файла, определенному в файле /word/_rels/document.rels.xml. Интересно, что запрос к файлу осуществляется по протоколу HTTP, а не по SMB-включению. Таким образом, данная кампания не содержит вредоносного кода, а использовалась исключительно в разведывательных целях.
Благодаря HTTP-запросу, выполняемому документом к собственному контролируемому серверу, злоумышленник может узнать версию и тип приложения Word, используемого жертвой, что может стать интересной информацией для отправки специализированного эксплойта для конкретной версии Microsoft Word.
Кроме того, злоумышленник может получить IP-адрес жертвы, который также может быть интересным селектором для мониторинга коммуникаций жертвы с помощью SIGINT-возможностей TURLA.
Indicators of Compromise
IPv4
- 45.153.241.162
- 79.110.52.218
- 149.154.157.11
Domains
- baltdefcol.webredirect.org
- wkoinfo.webredirect.org
- jadlactnato.webredirect.org
MD5
- f6e755e2af0231a614975d64ea3c8116
- f223e046dd4e3f98bfeb1263a78ff080