A Turla albániát támadja

April 10, 2024 Yanac Albánia, Backdoor, TinyTurla-NG, Turla

Az Aleksander W. Jarosz által nemrégiben készített elemzés rávilágít az oroszországi székhelyű Turla Advanced Persistent Threat (APT) csoport kiberkémkedési kísérletére, amely egy albániai szervezetet célzott meg. Ez a kísérlet egy szélesebb körű kampány része volt, amelynek célja az európai szervezetek, különösen a balti és kelet-európai, kormányzati kapcsolatokkal rendelkező szervezetek megtámadása volt, amelyek stratégiai érdekeltségűek az Ukrajnában zajló háború közepette. A Turla APT-csoport “TinyTurla-NG” (TTNG) hátsó ajtó telepítésére irányuló erőfeszítéseit egy konkrét IP-cím (91[.]193[.]18[.]120) azonosítása révén leplezték le, amely egy C&C szerverhez kapcsolódik, amint arról a Cisco Talos beszámolt. Ezt az IP-címet egy Albániából kézzel a VirusTotalra feltöltött fájlban fedezték fel, ami a Turla sikertelen beszivárgási kísérletére utal.

A “Firewall_Bllok_IP.txt.txt.txt” nevű fájl egy egyszerű szöveges dokumentum volt, amely több IP-címet sorolt fel, amelyeket a különböző vírusirtók rosszindulatúnak ismertek fel. A fájl feltöltésének időzítése egybeesik a Cisco Tiny Turla tevékenységéről szóló jelentéseivel, ugyanakkor megelőzi az érintett IP-cím nyilvánosságra hozatalát. Ez arra utal, hogy a Turla proaktívan próbált meg veszélyeztetni albániai célpontokat, ami összhangban van azzal a történelmi mintával, hogy a balti és kelet-európai szervezetekre összpontosít. Ez a regionális fókusz összhangban van Oroszország szélesebb körű stratégiai érdekeivel, különösen a folyamatban lévő ukrajnai konfliktushoz kapcsolódóan, ami azt jelzi, hogy hasonló kibertámadások valószínűleg 2024-ban is fennmaradnak.

(forrás)