Търсене
Close this search box.

Турция атакува нидерландски телекоми и ISP

Подкрепяната от турската държава група за кибершпионаж, проследена като Sea Turtle, провежда множество кампании за шпионаж в Нидерландия, като се фокусира върху телекомуникационни оператори, медии, доставчици на интернет услуги (ISP) и кюрдски уебсайтове.

Преди това Sea Turtle, известна също като Teal Kurma и Cosmic Wolf, се е фокусирала върху региона на Близкия изток, както и върху Швеция и САЩ, като е използвала техники като превземане на DNS и пренасочване на трафика, за да извършва атаки тип „човек по средата“ срещу правителствени и неправителствени организации, медии, доставчици на интернет услуги и доставчици на ИТ услуги.

Неотдавнашното разширяване на дейността в Нидерландия е наблюдавано от анализаторите на Hunt & Hackett, които съобщават, че Sea Turtle остава група за заплахи с умерена степен на сложност, която използва предимно известни недостатъци и компрометирани акаунти за първоначален достъп, като същевременно не успява да скрие ефективно следите от дейността си.

Неотдавнашните атаки

Hunt & Hackett заявява, че е наблюдавала активност на Sea Turtle в Нидерландия между 2021 и 2023 г., като наскоро са били въведени нови техники и зловреден софтуер.

Атаките са насочени към конкретни организации и изглежда са фокусирани върху придобиването на икономическа и политическа информация, която съответства на интересите на турската държава.

„Смята се, че тези кибератаки са организирани от Sea Turtle, действаща в съответствие с турските интереси, което е сигнал за ескалация на преследването на цели от страна на Турция в Нидерландия“, се казва в доклада.

„Кампаниите, наблюдавани в Нидерландия, изглежда са съсредоточени върху телекомуникациите, медиите, доставчиците на интернет услуги и доставчиците на ИТ услуги и по-конкретно върху кюрдски уебсайтове (наред с други, свързани с PPK).“

Първоначалният достъп при наблюдаваните атаки се постига чрез използване на компрометирани акаунти в cPanel за SSH в целевата инфраструктура.

Нов инструмент, използван при последните атаки на Sea Turtle, е „SnappyTCP“ – обратна TCP обвивка с отворен код за Linux, която предлага основни възможности за командване и контрол (C2).

Инструментът остава активен в системата, за да служи като постоянна задна врата, като използва командата „NoHup“, предотвратяваща прекратяването му дори когато участниците в заплахата са излезли от системата.

Изследователите съобщават също, че са видели инсталирането на инструмента за управление на бази данни Adminer в публичната директория на един от компрометираните акаунти в контролния панел cPanel, което им дава постоянен достъп до данни и възможности за изпълнение на SQL команди.

За избягване на атаките Sea Turtle презаписва системните журнални файлове на Linux и дезактивира файловете с история на командите (Bash) и MySQL, за да изтрие следите от своите присъствие и дейности.

Освен това Hunt & Hackett са регистрирали множество случаи на свързване на  заплахата с компрометираните акаунти в cPanel чрез инструмент за виртуална частна мрежа (VPN).

И накрая, когато става въпрос за ексфилтрация на данни, нападателите са създали копия на имейл архиви от компрометирани акаунти в cPanel и са ги поставили в публичната уеб директория на уебсайт, като са ги направили достъпни за изтегляне.

Инструментът SnappyTCP, подобно на повечето обратни обвивки, може да се използва и за ексфилтрация на данни директно към сървъра C2, като се използват TCP или HTTP връзки.

Hunt & Hackett не са наблюдавали случаи на кражба на удостоверения след компрометирането, опити за странично придвижване или манипулиране/изтриване на данни при тези атаки.

Въпреки че техниките на Sea Turtle са класифицирани като умерено усъвършенствани, групата продължава да представлява значителна заплаха за организациите в световен мащаб.

Препоръките за ограничаване на тази заплаха включват въвеждане на строг мониторинг на мрежата, активиране на MFA за всички критични акаунти и намаляване на излагането на SSH до минимално необходимите системи.

 

Източник: e-security.bg

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
Бъдете социални
Още по темата
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!