Подкрепяната от турската държава група за кибершпионаж, проследена като Sea Turtle, провежда множество кампании за шпионаж в Нидерландия, като се фокусира върху телекомуникационни оператори, медии, доставчици на интернет услуги (ISP) и кюрдски уебсайтове.
Преди това Sea Turtle, известна също като Teal Kurma и Cosmic Wolf, се е фокусирала върху региона на Близкия изток, както и върху Швеция и САЩ, като е използвала техники като превземане на DNS и пренасочване на трафика, за да извършва атаки тип „човек по средата“ срещу правителствени и неправителствени организации, медии, доставчици на интернет услуги и доставчици на ИТ услуги.
Неотдавнашното разширяване на дейността в Нидерландия е наблюдавано от анализаторите на Hunt & Hackett, които съобщават, че Sea Turtle остава група за заплахи с умерена степен на сложност, която използва предимно известни недостатъци и компрометирани акаунти за първоначален достъп, като същевременно не успява да скрие ефективно следите от дейността си.
Hunt & Hackett заявява, че е наблюдавала активност на Sea Turtle в Нидерландия между 2021 и 2023 г., като наскоро са били въведени нови техники и зловреден софтуер.
Атаките са насочени към конкретни организации и изглежда са фокусирани върху придобиването на икономическа и политическа информация, която съответства на интересите на турската държава.
„Смята се, че тези кибератаки са организирани от Sea Turtle, действаща в съответствие с турските интереси, което е сигнал за ескалация на преследването на цели от страна на Турция в Нидерландия“, се казва в доклада.
„Кампаниите, наблюдавани в Нидерландия, изглежда са съсредоточени върху телекомуникациите, медиите, доставчиците на интернет услуги и доставчиците на ИТ услуги и по-конкретно върху кюрдски уебсайтове (наред с други, свързани с PPK).“
Първоначалният достъп при наблюдаваните атаки се постига чрез използване на компрометирани акаунти в cPanel за SSH в целевата инфраструктура.
Нов инструмент, използван при последните атаки на Sea Turtle, е „SnappyTCP“ – обратна TCP обвивка с отворен код за Linux, която предлага основни възможности за командване и контрол (C2).
Инструментът остава активен в системата, за да служи като постоянна задна врата, като използва командата „NoHup“, предотвратяваща прекратяването му дори когато участниците в заплахата са излезли от системата.
Изследователите съобщават също, че са видели инсталирането на инструмента за управление на бази данни Adminer в публичната директория на един от компрометираните акаунти в контролния панел cPanel, което им дава постоянен достъп до данни и възможности за изпълнение на SQL команди.
За избягване на атаките Sea Turtle презаписва системните журнални файлове на Linux и дезактивира файловете с история на командите (Bash) и MySQL, за да изтрие следите от своите присъствие и дейности.
Освен това Hunt & Hackett са регистрирали множество случаи на свързване на заплахата с компрометираните акаунти в cPanel чрез инструмент за виртуална частна мрежа (VPN).
И накрая, когато става въпрос за ексфилтрация на данни, нападателите са създали копия на имейл архиви от компрометирани акаунти в cPanel и са ги поставили в публичната уеб директория на уебсайт, като са ги направили достъпни за изтегляне.
Инструментът SnappyTCP, подобно на повечето обратни обвивки, може да се използва и за ексфилтрация на данни директно към сървъра C2, като се използват TCP или HTTP връзки.
Hunt & Hackett не са наблюдавали случаи на кражба на удостоверения след компрометирането, опити за странично придвижване или манипулиране/изтриване на данни при тези атаки.
Въпреки че техниките на Sea Turtle са класифицирани като умерено усъвършенствани, групата продължава да представлява значителна заплаха за организациите в световен мащаб.
Препоръките за ограничаване на тази заплаха включват въвеждане на строг мониторинг на мрежата, активиране на MFA за всички критични акаунти и намаляване на излагането на SSH до минимално необходимите системи.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.