土耳其黑客组织 Sea Turtle 针对荷兰 IT 和电信公司的攻击活动

荷兰安全公司 Hunt & Hackett在周五的一份分析报告中表示：“目标的基础设施很容易受到供应链和跳岛攻击，黑客组织利用这些攻击来收集出于政治动机的信息，例如少数群体的个人信息和潜在的政治异议。”

“被盗信息可能会被用于对特定群体和/或个人进行监视或情报收集。”

Sea Turtle，也被称为 Cosmic Wolf、Marbled Dust（以前称为 Silicon）、Teal Kurma 和 UNC1326，最初由 Cisco Talos 于 2019 年 4 月记录，详细描述了国家支持的黑客组织针对中东和北非地区目标的攻击。

据信，该组织自 2017 年 1 月以来一直保持活跃，主要利用DNS 劫持将试图查询特定域的潜在目标重定向到黑客控制的，能够收集其凭据的服务器。

Talos 当时表示：“考虑到黑客针对各种 DNS 注册商和注册机构的方法，Sea Turtle 活动几乎肯定会比DNSpionage造成更严重的威胁。”

微软指出，2021 年末，黑客组织从亚美尼亚、塞浦路斯、希腊、伊拉克和叙利亚等国进行情报收集，以满足土耳其的战略利益，攻击电信和 IT 公司，目的是“通过利用已知漏洞在其目标的上游建立入侵立足点。

普华永道 (PwC) 威胁情报团队的报告称，上个月，黑客在 2021 年至 2023 年期间实施的攻击中使用了 Linux（和 Unix）系统的简单反向 TCP shell（名为 SnappyTCP）。

“Web shell 是一个用于 Linux/Unix 的简单反向 TCP shell，具有基本的[命令和控制]功能，并且也可能用于建立持久性。”该公司在分析报告中表示。“至少有两种主要变体；一种使用 OpenSSL 通过 TLS 创建安全连接，另一种则忽略此功能并以明文发送请求。”

Hunt & Hackett 的最新调查报告表明，Sea Turtle 仍然是一个以秘密间谍活动为重点的组织，利用防御规避技术突破安全防御系统收集电子邮件档案。

在 2023 年观察到的一次攻击中，一个被盗但合法的 cPanel 帐户被用作在系统上部署 SnappyTCP 的初始访问向量。目前尚不清楚黑客是如何获得凭据的。

该公司指出：“黑客使用 SnappyTCP 向系统发送命令，在可通过互联网访问的网站的公共 Web 目录中创建使用 tar 工具创建的电子邮件存档的副本。”

“黑客组织很可能通过直接从 Web 目录下载文件来窃取电子邮件存档。”

为了减轻此类攻击带来的风险，建议组织实施强密码策略、实施双因素身份验证 (2FA)、限制登录尝试速率以减少暴力尝试的机会、监控 SSH 流量并保持所有系统和软件是最新的。

封面来源于网络，如有侵权请联系删除