俄国国家支持的持续威胁作战行动

文章重点

• 俄国的 Turla 组织（又名 Secret Blizzard、Snake、Waterbug 和 Venomous Bear）将其他网络犯罪团伙的工具和基础设施用于其攻击行动。
• Turla 在针对乌克兰军事人员的同时，还利用了巴基斯坦威胁组织的有效载荷，夺取南亚组织的控制权。
• Turla 利用 Storm-1837 的后门来促进 Tavdig loader 的入侵，并在 3 月至 4 月期间通过 Storm-1919 的 Amadey 僵尸网络散布 XMRig 加密货币矿工。
• 微软的威胁情报团队分析指出，Turla 通过暗中窃取或购买获取的第三方进入点，专门建立间谍活动的立足点。

最近发现，俄国的高级持续威胁（APT）组织 Turla 正在针对乌克兰军事人员进行攻击，并且其行动方式异常，这一点很引人注目。据报导，Turla最近利用了一个巴基斯坦威胁组织的有效载荷，以侵犯南亚的多个机构并进行间谍活动。这些信息均来自于 的报导。

根据微软威胁情报团队的分析，Turla 在一月份利用了俄国威胁行动 Storm-1837 的后门以促进 Tavdig loader 的入侵，之后，Turla又利用 Storm-1919 的 Amadey 僵尸网络来在三月和四月之间分发 XMRig 加密货币矿工。微软的报告指出，Turla正在使用第三方的立足点，这些立足点是通过秘密窃取或购买途径获得的，这种方式是专门且刻意用于建立具有间谍价值的立足点。

尽管这种策略可能在某些情况下具有一定的优势，并可能导致更多的威胁对手采用类似的做法，但微软评估此方法对于加强防护的网络影响较小，因为良好的端点和网络防御可帮助检测到多个威胁对手的活动以便进行修复。