Подкрепяната от турската държава група за кибершпионаж, проследена като Sea Turtle, провежда множество кампании за шпионаж в Нидерландия, като се фокусира върху телекомуникационни оператори, медии, доставчици на интернет услуги (ISP) и кюрдски уебсайтове.

Преди това Sea Turtle, известна също като Teal Kurma и Cosmic Wolf, се е фокусирала върху региона на Близкия изток, както и върху Швеция и САЩ, като е използвала техники като превземане на DNS и пренасочване на трафика, за да извършва атаки тип „човек по средата“ срещу правителствени и неправителствени организации, медии, доставчици на интернет услуги и доставчици на ИТ услуги.

Неотдавнашното разширяване на дейността в Нидерландия е наблюдавано от анализаторите на Hunt & Hackett, които съобщават, че Sea Turtle остава група за заплахи с умерена степен на сложност, която използва предимно известни недостатъци и компрометирани акаунти за първоначален достъп, като същевременно не успява да скрие ефективно следите от дейността си.

Неотдавнашните атаки

Hunt & Hackett заявява, че е наблюдавала активност на Sea Turtle в Нидерландия между 2021 и 2023 г., като наскоро са били въведени нови техники и зловреден софтуер.

Атаките са насочени към конкретни организации и изглежда са фокусирани върху придобиването на икономическа и политическа информация, която съответства на интересите на турската държава.

„Смята се, че тези кибератаки са организирани от Sea Turtle, действаща в съответствие с турските интереси, което е сигнал за ескалация на преследването на цели от страна на Турция в Нидерландия“, се казва в доклада.

„Кампаниите, наблюдавани в Нидерландия, изглежда са съсредоточени върху телекомуникациите, медиите, доставчиците на интернет услуги и доставчиците на ИТ услуги и по-конкретно върху кюрдски уебсайтове (наред с други, свързани с PPK).“

Първоначалният достъп при наблюдаваните атаки се постига чрез използване на компрометирани акаунти в cPanel за SSH в целевата инфраструктура.

Нов инструмент, използван при последните атаки на Sea Turtle, е „SnappyTCP“ – обратна TCP обвивка с отворен код за Linux, която предлага основни възможности за командване и контрол (C2).

Инструментът остава активен в системата, за да служи като постоянна задна врата, като използва командата „NoHup“, предотвратяваща прекратяването му дори когато участниците в заплахата са излезли от системата.

Изследователите съобщават също, че са видели инсталирането на инструмента за управление на бази данни Adminer в публичната директория на един от компрометираните акаунти в контролния панел cPanel, което им дава постоянен достъп до данни и възможности за изпълнение на SQL команди.

За избягване на атаките Sea Turtle презаписва системните журнални файлове на Linux и дезактивира файловете с история на командите (Bash) и MySQL, за да изтрие следите от своите присъствие и дейности.

Освен това Hunt & Hackett са регистрирали множество случаи на свързване на  заплахата с компрометираните акаунти в cPanel чрез инструмент за виртуална частна мрежа (VPN).

И накрая, когато става въпрос за ексфилтрация на данни, нападателите са създали копия на имейл архиви от компрометирани акаунти в cPanel и са ги поставили в публичната уеб директория на уебсайт, като са ги направили достъпни за изтегляне.

Инструментът SnappyTCP, подобно на повечето обратни обвивки, може да се използва и за ексфилтрация на данни директно към сървъра C2, като се използват TCP или HTTP връзки.

Hunt & Hackett не са наблюдавали случаи на кражба на удостоверения след компрометирането, опити за странично придвижване или манипулиране/изтриване на данни при тези атаки.

Въпреки че техниките на Sea Turtle са класифицирани като умерено усъвършенствани, групата продължава да представлява значителна заплаха за организациите в световен мащаб.

Препоръките за ограничаване на тази заплаха включват въвеждане на строг мониторинг на мрежата, активиране на MFA за всички критични акаунти и намаляване на излагането на SSH до минимално необходимите системи.

 

Източник: e-security.bg

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
Бъдете социални
Още по темата
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
07/02/2025

Zimperium откри 1 000 прило...

Фирмата за мобилна сигурност Zimperium е...
06/02/2025

Руските хакери са използвал...

Руски групи за заплахи са провеждали...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!