荷兰电信和IT服务商等遭土耳其海龟APT攻击
近日,海龟网络间谍组织(又称为Teal Kurma、Marbled Dust、SILICON和Cosmic Wolf)针对荷兰电信、媒体、互联网服务提供商、IT服务提供商以及库尔德语网站进行了攻击。
据了解,该组织的攻击目标包括政府实体、库尔德(政治)团体(如库尔德工人党 PKK)、电信、互联网服务提供商、IT服务提供商(包括安全公司)、非政府组织,以及媒体与娱乐行业。
荷兰安全公司Hunt & Hackett研究人员表示,自2017年以来,与土耳其有关联的APT组织海龟一直保持活跃状态,主要针对欧洲和中东地区的组织。
2017年至2019年,该组织在行动中使用了DNS劫持技术。
2021年10月,微软注意到海龟APT组织进行的情报收集活动与土耳其的战略利益一致。
在最近的攻击中,海龟网络间谍组织利用供应链攻击和岛屿跳跃攻击了目标的基础设施,收集了少数群体成员和持不同政治意见者的个人信息。
Hunt & Hackett 发布的报告中指出,被盗取的信息很可能会被用来对特定团体或个人进行监视或情报搜集,这和2020年美国官员披露的为土耳其利益行动的黑客组织的说法一致。这些黑客组织关注的是受害者的身份和位置,包括那些对土耳其具有地缘政治重要性的国家的政府。
该组织的作案手法包括拦截前往受害网站的互联网流量,并可能在未经授权的情况下获取政府网络和其他组织的访问权限。
在2023年最近的一次行动中,该组织使用了一个名为SnappyTCP的反向TCP shell攻击Linux/Unix系统。
除此之外,该组织还使用了一个可能受到威胁行为者控制的公开可访问的GitHub账户中的代码。研究人员还发现,该组织入侵了cPanel账户,并利用SSH技术初步访问了目标组织环境,至少收集了其中一个受害组织的电子邮件存档。
为减轻海龟攻击的风险,Hunt & Hackett研究人员提出以下建议:
- 部署端点检测和响应(EDR)系统,并监控系统的网络连接、执行的进程、文件的创建/修改/删除以及账户活动,并将日志文件存储在以一个中央位置,确保有足够的存储容量用于历史取证调查。
- 制定并执行一个密码策略,为特定账户设定足够的复杂性要求。
- 将密码存储在一个秘密管理系统中,该系统也可供开发环境使用。
- 限制账户的登录尝试次数,以减少暴力破解攻击成功的机会。
- 在所有对外开放的账户上启用双因素认证(2FA)。
- 保持软件更新,以减少对外开放系统的漏洞数量。
- 减少可以通过互联网使用SSH访问的系统数量,在必要情况下,建议实施SSH登录的速率限制。
- 实施出口网络过滤,防止恶意进程(如反向Shell)成功向未授权的IP地址发送网络流量。
另外,报告还提到了妥协指标(IoCs)。
参考来源:
Turkish Sea Turtle APT targets Dutch IT and Telecom firms (securityaffairs.com)
