土耳其黑客组织 Sea Turtle 针对荷兰 IT 和电信公司的攻击活动

荷兰安全公司 Hunt & Hackett在周五的一份分析报告中表示:“目标的基础设施很容易受到供应链和跳岛攻击,黑客组织利用这些攻击来收集出于政治动机的信息,例如少数群体的个人信息和潜在的政治异议。”

“被盗信息可能会被用于对特定群体和/或个人进行监视或情报收集。”

Sea Turtle,也被称为 Cosmic Wolf、Marbled Dust(以前称为 Silicon)、Teal Kurma 和 UNC1326,最初由 Cisco Talos 于 2019 年 4 月记录,详细描述了国家支持的黑客组织针对中东和北非地区目标的攻击。

据信,该组织自 2017 年 1 月以来一直保持活跃,主要利用DNS 劫持将试图查询特定域的潜在目标重定向到黑客控制的,能够收集其凭据的服务器。

Talos 当时表示:“考虑到黑客针对各种 DNS 注册商和注册机构的方法,Sea Turtle 活动几乎肯定会比DNSpionage造成更严重的威胁。”

微软指出,2021 年末,黑客组织从亚美尼亚、塞浦路斯、希腊、伊拉克和叙利亚等国进行情报收集,以满足土耳其的战略利益,攻击电信和 IT 公司,目的是“通过利用已知漏洞在其目标的上游建立入侵立足点。

普华永道 (PwC) 威胁情报团队的报告称,上个月,黑客在 2021 年至 2023 年期间实施的攻击中使用了 Linux(和 Unix)系统的简单反向 TCP shell(名为 SnappyTCP)。

“Web shell 是一个用于 Linux/Unix 的简单反向 TCP shell,具有基本的[命令和控制]功能,并且也可能用于建立持久性。”该公司在分析报告中表示。“至少有两种主要变体;一种使用 OpenSSL 通过 TLS 创建安全连接,另一种则忽略此功能并以明文发送请求。”

Hunt & Hackett 的最新调查报告表明,Sea Turtle 仍然是一个以秘密间谍活动为重点的组织,利用防御规避技术突破安全防御系统收集电子邮件档案。

在 2023 年观察到的一次攻击中,一个被盗但合法的 cPanel 帐户被用作在系统上部署 SnappyTCP 的初始访问向量。目前尚不清楚黑客是如何获得凭据的。

该公司指出:“黑客使用 SnappyTCP 向系统发送命令,在可通过互联网访问的网站的公共 Web 目录中创建使用 tar 工具创建的电子邮件存档的副本。”

“黑客组织很可能通过直接从 Web 目录下载文件来窃取电子邮件存档。”

为了减轻此类攻击带来的风险,建议组织实施强密码策略、实施双因素身份验证 (2FA)、限制登录尝试速率以减少暴力尝试的机会、监控 SSH 流量并保持所有系统和软件是最新的。


转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/YaK9K_4TrwIeAPvWE0qiSw

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞15 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容