研究人员来自荷兰安全公司Hunt&Hackett观察到了名为“Sea Turtle”的网络间谍组织(又称Teal Kurma、Marbled Dust、SILICON和Cosmic Wolf)针对荷兰的电信、媒体、互联网服务提供商、IT服务提供商和库尔德网站。研究人员认为,与土耳其有关联的APT组织Sea Turtle自2017年以来一直活动着。Sea Turtle APT组织主要专注于攻击欧洲和中东地区的组织。
在2017年至2019年期间,该APT组织主要使用DNS劫持进行攻击。该组织的目标包括政府机构、库尔德(政治)组织(如库尔德工人党)、电信、互联网服务提供商、IT服务提供商(包括安全公司)、非政府组织以及媒体和娱乐行业。多年来,该组织不断提升其逃避能力。在2021年10月,微软观察到该组织进行了与土耳其战略利益相关的情报收集活动。在最近的攻击中,研究人员通过供应链和岛屿跳跃攻击针对目标的基础设施。威胁行动者收集了少数群体和潜在政治异见人士的个人信息。
Hunt&Hackett发布的报告中写道:“被窃取的信息很可能被用于特定群体或个人的监视或情报收集。这似乎与2020年美国官员关于以土耳其利益为导向的黑客组织的说法一致,重点是受害者的身份和位置,其中包括对土耳其地缘政治具有重要意义的国家政府。”该组织的作案手法包括拦截目标网站的互联网流量,并可能未经授权地访问政府网络和其他组织。在2023年最近一次攻击中,APT组织使用了一个名为SnappyTCP的反向TCP shell来针对Linux/Unix系统。
Sea Turtle还使用了来自一个公开可访问的GitHub账户的代码,该账户很可能受到威胁行动者的控制。研究人员还观察到网络间谍入侵了cPanel账户,并使用SSH获取目标组织环境的初始访问权限。Hunt&Hackett还观察到威胁行动者至少收集了多个受害组织中的一个电子邮件存档。以下是研究人员提供的减轻遭受Sea Turtle攻击风险的建议:部署EDR并监控系统的网络连接执行过程、文件的创建/修改/删除以及账户活动,并将日志文件存储在中央位置。
-
确保具备用于历史取证调查目的的足够存储容量。
-
创建并执行具备适当复杂性要求的密码策略,针对特定账户。将密码存储在一个可以供开发环境使用的密钥管理系统中。
-
限制账户的登录尝试次数,以减少成功的暴力破解攻击的机会。
-
在所有外部暴露的账户上启用双因素认证。
-
保持软件更新,以减少外部暴露系统中的漏洞数量。减少通过SSH可以访问的系统数量。
-
如果仍然需要,请实施SSH登录速率限制。
-
实施出方网络过滤,防止恶意进程例如反向shell成功发送网络流量到不允许的IP地址。报告还包括威胁指标(Iocs)。
原文始发于微信公众号(黑猫安全):TURKISH SEA TURTLE APT针对荷兰IT和电信公司
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论