留言
Turla 对乌克兰的攻击涉及其他网络犯罪团伙的工具 媒体
俄国国家支持的持续威胁作战行动
文章重点
俄国的 Turla 组织又名 Secret Blizzard、Snake、Waterbug 和 Venomous Bear将其他网络犯罪团伙的工具和基础设施用于其攻击行动。Turla 在针对乌克兰军事人员的同时,还利用了巴基斯坦威胁组织的有效载荷,夺取南亚组织的控制权。Turla 利用 Storm1837 的后门来促进 Tavdig loader 的入侵,并在 3 月至 4 月期间通过 Storm1919 的 Amadey 僵尸网络散布 XMRig 加密货币矿工。微软的威胁情报团队分析指出,Turla 通过暗中窃取或购买获取的第三方进入点,专门建立间谍活动的立足点。最近发现,俄国的高级持续威胁APT组织 Turla 正在针对乌克兰军事人员进行攻击,并且其行动方式异常,这一点很引人注目。据报导,Turla 最近利用了一个巴基斯坦威胁组织的有效载荷,以侵犯南亚的多个机构并进行间谍活动。这些信息均来自于 Ars Technica 的报导。
根据微软威胁情报团队的分析,Turla 在一月份利用了俄国威胁行动 Storm1837 的后门以促进 Tavdig loader 的入侵,之后,Turla 又利用 Storm1919 的 Amadey 僵尸网络来在三月和四月之间分发 XMRig 加密货币矿工。微软的报告指出,Turla 正在使用第三方的立足点,这些立足点是通过秘密窃取或购买途径获得的,这种方式是专门且刻意用于建立具有间谍价值的立足点。
flyingbird 飞鸟机场
行动描述Turla俄国的持续威胁组织,目标包括乌克兰军事人员Storm1837俄国的威胁行动,提供后门给 TurlaStorm1919用于分发 XMRig 的 Amadey 僵尸网络Tavdig loader作为入侵工具被利用
尽管这种策略可能在某些情况下具有一定的优势,并可能导致更多的威胁对手采用类似的做法,但微软评估此方法对于加强防护的网络影响较小,因为良好的端点和网络防御可帮助检测到多个威胁对手的活动以便进行修复。