Търсене
Close this search box.

Турция атакува нидерландски телекоми и ISP

Подкрепяната от турската държава група за кибершпионаж, проследена като Sea Turtle, провежда множество кампании за шпионаж в Нидерландия, като се фокусира върху телекомуникационни оператори, медии, доставчици на интернет услуги (ISP) и кюрдски уебсайтове.

Преди това Sea Turtle, известна също като Teal Kurma и Cosmic Wolf, се е фокусирала върху региона на Близкия изток, както и върху Швеция и САЩ, като е използвала техники като превземане на DNS и пренасочване на трафика, за да извършва атаки тип „човек по средата“ срещу правителствени и неправителствени организации, медии, доставчици на интернет услуги и доставчици на ИТ услуги.

Неотдавнашното разширяване на дейността в Нидерландия е наблюдавано от анализаторите на Hunt & Hackett, които съобщават, че Sea Turtle остава група за заплахи с умерена степен на сложност, която използва предимно известни недостатъци и компрометирани акаунти за първоначален достъп, като същевременно не успява да скрие ефективно следите от дейността си.

Неотдавнашните атаки

Hunt & Hackett заявява, че е наблюдавала активност на Sea Turtle в Нидерландия между 2021 и 2023 г., като наскоро са били въведени нови техники и зловреден софтуер.

Атаките са насочени към конкретни организации и изглежда са фокусирани върху придобиването на икономическа и политическа информация, която съответства на интересите на турската държава.

„Смята се, че тези кибератаки са организирани от Sea Turtle, действаща в съответствие с турските интереси, което е сигнал за ескалация на преследването на цели от страна на Турция в Нидерландия“, се казва в доклада.

„Кампаниите, наблюдавани в Нидерландия, изглежда са съсредоточени върху телекомуникациите, медиите, доставчиците на интернет услуги и доставчиците на ИТ услуги и по-конкретно върху кюрдски уебсайтове (наред с други, свързани с PPK).“

Първоначалният достъп при наблюдаваните атаки се постига чрез използване на компрометирани акаунти в cPanel за SSH в целевата инфраструктура.

Нов инструмент, използван при последните атаки на Sea Turtle, е „SnappyTCP“ – обратна TCP обвивка с отворен код за Linux, която предлага основни възможности за командване и контрол (C2).

Инструментът остава активен в системата, за да служи като постоянна задна врата, като използва командата „NoHup“, предотвратяваща прекратяването му дори когато участниците в заплахата са излезли от системата.

Изследователите съобщават също, че са видели инсталирането на инструмента за управление на бази данни Adminer в публичната директория на един от компрометираните акаунти в контролния панел cPanel, което им дава постоянен достъп до данни и възможности за изпълнение на SQL команди.

За избягване на атаките Sea Turtle презаписва системните журнални файлове на Linux и дезактивира файловете с история на командите (Bash) и MySQL, за да изтрие следите от своите присъствие и дейности.

Освен това Hunt & Hackett са регистрирали множество случаи на свързване на  заплахата с компрометираните акаунти в cPanel чрез инструмент за виртуална частна мрежа (VPN).

И накрая, когато става въпрос за ексфилтрация на данни, нападателите са създали копия на имейл архиви от компрометирани акаунти в cPanel и са ги поставили в публичната уеб директория на уебсайт, като са ги направили достъпни за изтегляне.

Инструментът SnappyTCP, подобно на повечето обратни обвивки, може да се използва и за ексфилтрация на данни директно към сървъра C2, като се използват TCP или HTTP връзки.

Hunt & Hackett не са наблюдавали случаи на кражба на удостоверения след компрометирането, опити за странично придвижване или манипулиране/изтриване на данни при тези атаки.

Въпреки че техниките на Sea Turtle са класифицирани като умерено усъвършенствани, групата продължава да представлява значителна заплаха за организациите в световен мащаб.

Препоръките за ограничаване на тази заплаха включват въвеждане на строг мониторинг на мрежата, активиране на MFA за всички критични акаунти и намаляване на излагането на SSH до минимално необходимите системи.

 

Източник: e-security.bg

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
21 юни 2024

Хакери на Хамас шпионират Палестина и Египет

Хакери, свързани с Хамас, са замесени в пет кампании за кибершпиона...
20 юни 2024

Сериозна уязвимост на Phoenix UEFI

Стотици модели компютри и сървъри, които използват процесори на Int...
20 юни 2024

Измама на Markopolo е насочена към потребителит...

Установен е извършител на заплаха с псевдоним markopolo, който стои...
Бъдете социални
Още по темата
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
21/06/2024

САЩ наложиха санкции на 12 ...

Службата за контрол на чуждестранните активи...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!