Специалисты по информационной безопасности из голландской компании Hunt & Hackett сообщили, что хакерская группировка Sea Turtle, предположительно связанная с правительством Турции, возобновила свою киберпреступную деятельность. Атаки с её стороны не регистрировались с лета 2020 года.
Голландский поставщик услуг и продуктов кибербезопасности Hunt & Hackett 5 января 2024 года сообщил, что Sea Turtle провела несколько шпионских кампаний в Нидерландах. Эти кампании длились с 2021 по 2023 год и были нацелены на телекоммуникационные компании, СМИ, ИТ-компании и интернет-провайдеров.
APT-группа также атаковала курдские веб-сайты, особенно те, которые связаны с Рабочей партией Курдистана (РПК).
«Инфраструктура целей была уязвима для атак на цепочки поставок и перемещения по сетям, которые атакующая группа использовала для сбора политически мотивированной информации, такой как личная информация о меньшинствах и потенциальных политических инакомыслящих», — говорится в отчете Hunt & Hackett.
«Украденная информация, скорее всего, будет использована для наблюдения или сбора разведывательных данных о конкретных группах или отдельных лицах», — добавили в компании.
Sea Turtle, ранее известная способностью перехватывать DNS, в недавних кампаниях применила новые подходы. Во время одной из операций 2023 года группа использовала скомпрометированную учетную запись в cPanel, панели управления веб-хостингом. Учетная запись cPanel использовалась для входа по SSH с IP-адреса, принадлежащего хостинг-провайдеру, что позволило Sea Turtle проникнуть в ИТ-инфраструктуру своей цели.
Затем Sea Turtle использовала оболочку Unix Bash для выполнения вредоносных команд. Согласно отчету PwC за декабрь 2023 года, группа использовала обратную оболочку TCP для операционных систем Linux/Unix под названием SnappyTCP, код которой доступен на GitHub. SnappyTCP можно использовать для кражи данных, установки дополнительных вредоносных программ или запуска других атак.
Вскоре после этого инструмент Adminer был установлен в общедоступный веб-каталог одной из скомпрометированных учетных записей cPanel. Adminer — это инструмент управления базами данных, позволяющий удаленно входить в систему MySQL.
Наконец, злоумышленник отправил команды через SnappyTCP для создания копии архива электронной почты в общедоступном веб-каталоге веб-сайта, доступного из Интернета.
С полной версии отчета компании Hunt & Hackett можно ознакомиться по следующей ссылке.
Оригинал публикации на сайте CISOCLUB: "Hunt & Hackett: турецкие прогосударственные хакеры проводят атаки против нидерландских организаций".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Эксперты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.