Brother
Professional
- Messages
- 2,590
- Reaction score
- 533
- Points
- 113
Телекоммуникации, СМИ, интернет-провайдеры (ISP), поставщики услуг информационных технологий (IT) и курдские веб-сайты в Нидерландах подверглись атакам в рамках новой кампании кибершпионажа, проводимой субъектом угрозы Turkiye-nexus, известным как Sea Turtle.
"Инфраструктура целей была восприимчива к атакам по цепочке поставок и по островам, которые атакующая группа использовала для сбора политически мотивированной информации, такой как личная информация о группах меньшинств и потенциальном политическом инакомыслии", - сообщила голландская охранная фирма Hunt & Hackett в пятничном анализе.
"Украденная информация, вероятно, будет использована для наблюдения или сбора разведданных о конкретных группах и / или отдельных лицах".
Sea Turtle, также известная под названиями Cosmic Wolf, Marbled Dust (ранее Silicon), Teal Kurma и UNC1326, была впервые задокументирована Cisco Talos в апреле 2019 года с подробным описанием спонсируемых государством атак, нацеленных на государственные и частные организации на Ближнем Востоке и в Северной Африке.
Считается, что деятельность, связанная с группой, продолжается с января 2017 года, в первую очередь используя перехват DNS для перенаправления потенциальных целей, пытающихся запросить определенный домен, на сервер, контролируемый участником, способный получить их учетные данные.
"Кампания Sea Turtle почти наверняка представляет более серьезную угрозу, чем DNSpionage, учитывая методологию актера по нацеливанию на различные DNS-регистраторы и реестры", - сказал Талос в то время.
В конце 2021 года Microsoft отметила, что противник осуществляет сбор разведданных для удовлетворения стратегических интересов Турции из таких стран, как Армения, Кипр, Греция, Ирак и Сирия, нанося удары по телекоммуникационным и IT-компаниям с целью "закрепиться выше по течению от желаемой цели", используя известные уязвимости.
Затем, в прошлом месяце, было обнаружено, что злоумышленник использовал простую оболочку обратного TCP для систем Linux (и Unix) под названием SnappyTCP в атаках, проведенных в период с 2021 по 2023 год, по данным группы анализа угроз PricewaterhouseCoopers (PwC).
"Web shell - это простая оболочка обратного TCP для Linux / Unix, которая обладает базовыми возможностями [командования и контроля], а также, вероятно, используется для обеспечения персистентности", - сказали в компании. "Существует по крайней мере два основных варианта; один использует OpenSSL для создания безопасного соединения по протоколу TLS, в то время как другой исключает эту возможность и отправляет запросы открытым текстом".
Последние выводы Hunt & Hackett показывают, что Sea Turtle по-прежнему остается скрытной шпионской группой, использующей методы уклонения от обороны, чтобы оставаться незамеченной и собирать архивы электронной почты.
В одной из атак, наблюдавшихся в 2023 году, скомпрометированная, но легитимная учетная запись cPanel использовалась в качестве начального вектора доступа для развертывания SnappyTCP в системе. В настоящее время неизвестно, как злоумышленники получили учетные данные.
"Используя SnappyTCP, субъект угрозы отправлял в систему команды для создания копии архива электронной почты, созданного с помощью инструмента tar, в общедоступном веб-каталоге веб-сайта, доступного из Интернета", - отметили в фирме.
"Весьма вероятно, что злоумышленник отфильтровал архив электронной почты, загрузив файл непосредственно из веб-каталога".
Для снижения рисков, связанных с такими атаками, организациям рекомендуется применять политики надежных паролей, внедрять двухфакторную аутентификацию (2FA), ограничить частоту попыток входа в систему для снижения вероятности попыток взлома, отслеживать SSH-трафик и поддерживать все системы и программное обеспечение в актуальном состоянии.
"Инфраструктура целей была восприимчива к атакам по цепочке поставок и по островам, которые атакующая группа использовала для сбора политически мотивированной информации, такой как личная информация о группах меньшинств и потенциальном политическом инакомыслии", - сообщила голландская охранная фирма Hunt & Hackett в пятничном анализе.
"Украденная информация, вероятно, будет использована для наблюдения или сбора разведданных о конкретных группах и / или отдельных лицах".
Sea Turtle, также известная под названиями Cosmic Wolf, Marbled Dust (ранее Silicon), Teal Kurma и UNC1326, была впервые задокументирована Cisco Talos в апреле 2019 года с подробным описанием спонсируемых государством атак, нацеленных на государственные и частные организации на Ближнем Востоке и в Северной Африке.
Считается, что деятельность, связанная с группой, продолжается с января 2017 года, в первую очередь используя перехват DNS для перенаправления потенциальных целей, пытающихся запросить определенный домен, на сервер, контролируемый участником, способный получить их учетные данные.
"Кампания Sea Turtle почти наверняка представляет более серьезную угрозу, чем DNSpionage, учитывая методологию актера по нацеливанию на различные DNS-регистраторы и реестры", - сказал Талос в то время.
В конце 2021 года Microsoft отметила, что противник осуществляет сбор разведданных для удовлетворения стратегических интересов Турции из таких стран, как Армения, Кипр, Греция, Ирак и Сирия, нанося удары по телекоммуникационным и IT-компаниям с целью "закрепиться выше по течению от желаемой цели", используя известные уязвимости.
Затем, в прошлом месяце, было обнаружено, что злоумышленник использовал простую оболочку обратного TCP для систем Linux (и Unix) под названием SnappyTCP в атаках, проведенных в период с 2021 по 2023 год, по данным группы анализа угроз PricewaterhouseCoopers (PwC).
"Web shell - это простая оболочка обратного TCP для Linux / Unix, которая обладает базовыми возможностями [командования и контроля], а также, вероятно, используется для обеспечения персистентности", - сказали в компании. "Существует по крайней мере два основных варианта; один использует OpenSSL для создания безопасного соединения по протоколу TLS, в то время как другой исключает эту возможность и отправляет запросы открытым текстом".
Последние выводы Hunt & Hackett показывают, что Sea Turtle по-прежнему остается скрытной шпионской группой, использующей методы уклонения от обороны, чтобы оставаться незамеченной и собирать архивы электронной почты.
В одной из атак, наблюдавшихся в 2023 году, скомпрометированная, но легитимная учетная запись cPanel использовалась в качестве начального вектора доступа для развертывания SnappyTCP в системе. В настоящее время неизвестно, как злоумышленники получили учетные данные.
"Используя SnappyTCP, субъект угрозы отправлял в систему команды для создания копии архива электронной почты, созданного с помощью инструмента tar, в общедоступном веб-каталоге веб-сайта, доступного из Интернета", - отметили в фирме.
"Весьма вероятно, что злоумышленник отфильтровал архив электронной почты, загрузив файл непосредственно из веб-каталога".
Для снижения рисков, связанных с такими атаками, организациям рекомендуется применять политики надежных паролей, внедрять двухфакторную аутентификацию (2FA), ограничить частоту попыток входа в систему для снижения вероятности попыток взлома, отслеживать SSH-трафик и поддерживать все системы и программное обеспечение в актуальном состоянии.
