Sea Turtle 是一个与土耳其政府结盟的黑客组织,自 2020 年以来一直未被发现,如今又卷土重来。
荷兰网络安全提供商 Hunt & Hackett 于 2024 年 1 月 5 日报告称,Sea Turtle 一直在荷兰开展多次间谍活动。
这些活动发生在 2021 年至 2023 年之间。它们针对电信、媒体、IT 和互联网服务提供商 (ISP)。
APT 组织还针对库尔德网站,特别是那些隶属于库尔德工人党 (PKK) 的网站。
Hunt & Hackett 研究团队写道:“目标的基础设施很容易受到供应链和跳岛攻击,攻击组织利用这些攻击来收集出于政治动机的信息,例如少数群体的个人信息和潜在的政治异议。”
它补充说:“被盗信息可能会被用于对特定群体或个人进行监视或情报收集。”
cPanel 妥协和 SnappyTCP 恶意软件
Sea Turtle 以前已知会进行 DNS 劫持,但它在最近的活动中部署了新方法。
据报道,在 2023 年的一次行动中,该组织在 cPanel(全球多个组织使用的网络托管控制面板)上使用了一个受感染的帐户,该帐户来自 VPN 提供商使用的 IP 地址。
cPanel 帐户用于从属于托管提供商的 IP 地址执行 SSH 登录。这使得 Sea Turtle 能够进入其目标的 IT 基础设施。
接下来,Sea Turtle 使用 Unix shell Bash 执行恶意命令。
根据普华永道 2023 年 12 月的一份报告,该黑客组织在 Linux/Unix 操作系统上使用了名为 SnappyTCP 的反向 TCP shell,其源代码可在 GitHub 上找到。
SnappyTCP 可用于窃取数据、安装其他恶意软件或发起其他攻击。
不久之后,Adminer 工具被安装在受感染 cPanel 帐户之一的公共 Web 目录中。Adminer是一个公开的数据库管理工具,可以用来远程登录系统的MySQL服务。
最后,威胁参与者使用 SnappyTCP 向系统发送命令,在可通过互联网访问的网站的公共 Web 目录中创建电子邮件存档的副本。
电子邮件存档是使用 tar 创建的,tar 是一种计算机软件实用程序,旨在将文件收集到一个存档文件中以用于分发或备份目的。
Hunt & Hackett 报告总结道:“威胁行为者很可能通过直接从 Web 目录下载文件来窃取电子邮件存档。”
海龟背后是谁?
海龟(又名 Teal Kurma、Marbled Dust、Silicon、UNC1326、Cosmic Wolf)是一个高级持续威胁 (APT) 组织,据称与土耳其政府有联系或结盟。
其活动可以追溯到 2017 年 1 月,并于 2019 年 4 月首次由 Cisco Talos 记录。在初始报告中,Cisco Talos详细介绍了针对中东和北非公共和私人实体的间谍攻击。
该组织的动机主要集中在通过针对公共和私人实体的间谍活动和信息盗窃来获取经济和政治情报。
该组织在 2018 年至 2020 年期间进行了一系列 DNS 劫持活动 ,拦截了希腊、塞浦路斯和伊拉克政府 IT 系统的流量,从而变得声名鹊起。
微软的《2021 年数字防御报告》指出,威胁行为者在亚美尼亚、塞浦路斯、希腊、伊拉克和叙利亚等国家开展情报收集活动。这些活动旨在满足土耳其的战略利益。
普华永道于 2023 年 12 月上旬发布的一份报告介绍了该组织对 SnappyTCP 的使用情况。
与此同时,基于云的安全运营提供商 Strike Ready 于 2023 年 12 月下旬在自己的博客上发布了一份与 Sea Turtle 相关的报告。该公司专注于 Sea Turtle 的一项特定活动:欺骗阿拉伯世界的库尔德新闻网站、非政府组织网站和电视频道。
防止海龟袭击的建议
在 Hunt & Hackett 的报告中,该公司分享了一系列建议,以帮助 Sea Turtle 的主要目标减少攻击面和成为受害者的可能性。
这些包括:
- 部署 EDR 并监控网络连接执行流程、文件创建/修改/删除和帐户活动的系统,并将日志文件存储在中央位置
- 为特定帐户创建和执行具有足够复杂性要求的密码策略,并将密码存储在机密管理系统中
- 限制帐户的登录尝试以减少暴力攻击成功的机会
- 对所有外部暴露的帐户启用双因素/多重身份验证 (2FA/MFA)
- 减少可使用 SSH 通过互联网访问的系统数量
- 实施出口网络过滤,以防止反向 shell 等恶意进程成功将网络流量发送到不允许的 IP 地址
发表评论
您还未登录,请先登录。
登录