- Kể từ khi bắt đầu cuộc xâm lược quân sự của Nga và Ukraine vào tháng 2 năm 2022, các chuyên gia đã phát hiện và liên kết một chuỗi các hoạt động do thám và lừa đảo thông tin xác thực nhằm mục tiêu vào Ukraine là do nhóm Turla đứng sau.

Vào tháng 7 năm 2022, Google cũng công bố rằng Turla đã tạo một ứng dụng Android độc hại để đối tượng tấn công thực hiện các cuộc tấn công từ chối dịch vụ nhằm vào các trang web của Nga.

Gần đây, nhóm APT Turla bị phát hiện đang sử dụng cơ sở hạ tầng tấn công có phần mềm độc hại đã được sử dụng hàng chục năm nhằm mục đích cung cấp các công cụ do thám và backdoor mới. Turla đã lén lút sử dụng các phần mềm độc hại cũ hơn làm cơ chế phân phối phần mềm độc hại, bao gồm cả việc lợi dụng ANDROMEDA lây lan qua các khóa USB bị nhiễm. Phần mềm này là một công cụ để giành quyền truy cập ban đầu vào mục tiêu.

Theo các chuyên gia bảo mật, một thanh USB bị nhiễm virus đã được cắm vào một tổ chức Ukraine vào tháng 12 năm 2021, dẫn đến việc triển khai một phần mềm ANDROMEDA kế thừa trên máy chủ khi khởi chay một liên kết độc hại (.LNK) giả mạo tệp dưới dạng một thư mục trong ổ USB. Sau đó, đối tượng tấn công sử dụng lại một trong những tên miền không hoạt động thuộc cơ sở hạ tầng C&C không còn tồn tại của ANDROMEDA (được đăng kí vào tháng 1 năm 2022) để lập hồ sơ nạn nhân bằng cách sử dụng KOPILUWAK dropper.

Kỹ thuật mới mà Turla sử dụng đã xác nhận rằng quyền sở hữu các miền đã hết hạn được sử dụng phần mềm độc hại được phân phối rộng rãi, có động cơ tài chính và có thể cho phép thực hiện các hoạt động tấn công khác với các mục tiêu khác nhau. Hơn nữa việc sử dụng phần mềm độc hại và cơ sở hạ tầng cũ sẽ giúp đối tượng tấn công tránh bị phát hiện và tăng khả năng tấn công thành công vì thường các chuyên gia và các nhà quản trị viên sẽ bỏ qua và không có biện pháp phòng tránh các phần mềm độc hại cũ.

PV