土耳其黑客组织 Sea Turtle 针对荷兰 IT 和电信公司的攻击活动

荷兰的电信、媒体、互联网服务提供商 (ISP)、信息技术 (IT) 服务提供商和库尔德网站已成为与土耳其关联的黑客组织“Sea Turtle”发起的新网络间谍活动的一部分。

荷兰安全公司 Hunt & Hackett在周五的一份分析报告（https://www.huntandhackett.com/blog/turkish-espionage-campaigns）中表示：“目标的基础设施很容易受到供应链和跳岛攻击，黑客组织利用这些攻击来收集出于政治动机的信息，例如少数群体的个人信息和潜在的政治异议。”

“被盗信息可能会被用于对特定群体和/或个人进行监视或情报收集。”

Sea Turtle，也称为 Cosmic Wolf、Marbled Dust（以前称为 Silicon）、Teal Kurma 和 UNC1326，最初由 Cisco Talos 于 2019 年 4 月记录，详细描述了国家支持的黑客组织针对中东和北非地区目标的攻击。

据信，与该组织相关的活动自 2017 年 1 月以来一直在进行，主要利用DNS 劫持将试图查询特定域的潜在目标重定向到能够收集其凭据的攻击者控制的服务器。

Talos 当时表示：“考虑到攻击者针对各种 DNS 注册商和注册机构的方法，Sea Turtle 活动几乎肯定会比DNSpionage造成更严重的威胁。”

微软指出（https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report-2021），2021 年末，黑客组织从亚美尼亚、塞浦路斯、希腊、伊拉克和叙利亚等国进行情报收集，以满足土耳其的战略利益，攻击电信和 IT 公司，目的是“通过利用已知漏洞在其目标的上游建立入侵立足点。

普华永道 (PwC) 威胁情报团队的报告（https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/tortoise-and-malwahare.html）称，上个月，攻击者被发现在 2021 年至 2023 年期间实施的攻击中使用了 Linux（和 Unix）系统的简单反向 TCP shell（名为 SnappyTCP）。

“Web shell 是一个用于 Linux/Unix 的简单反向 TCP shell，具有基本的[命令和控制]功能，并且也可能用于建立持久性。”该公司在分析报告中表示。“至少有两种主要变体；一种使用 OpenSSL 通过 TLS 创建安全连接，另一种则忽略此功能并以明文发送请求。”

Hunt & Hackett 的最新调查报告（https://www.huntandhackett.com/blog/turkish-espionage-campaigns）表明，Sea Turtle 仍然是一个以秘密间谍活动为重点的组织，利用防御规避技术突破安全防御系统收集电子邮件档案。

在 2023 年观察到的一次攻击中，一个被盗但合法的 cPanel 帐户被用作在系统上部署 SnappyTCP 的初始访问向量。目前尚不清楚攻击者如何获得凭据。

该公司指出：“攻击者使用 SnappyTCP 向系统发送命令，在可通过互联网访问的网站的公共 Web 目录中创建使用 tar 工具创建的电子邮件存档的副本。”

“黑客组织很可能通过直接从 Web 目录下载文件来窃取电子邮件存档。”

为了减轻此类攻击带来的风险，建议组织实施强密码策略、实施双因素身份验证 (2FA)、限制登录尝试速率以减少暴力尝试的机会、监控 SSH 流量并保持所有系统和软件是最新的。

参考链接：https://thehackernews.com/2024/01/sea-turtle-cyber-espionage-campaign.html