Tin tặc Thổ Nhĩ Kỳ Sea Turtle mở rộng các cuộc tấn công sang các ISP, công ty viễn thông Hà Lan

Trước đây Sea Turtle, còn được gọi là Teal Kurma và Cosmic Wolf, tập trung vào khu vực Trung Đông, cũng như Thụy Điển và Hoa Kỳ, sử dụng các kỹ thuật như chiếm quyền điều khiển DNS và chuyển hướng lưu lượng truy cập để thực hiện các cuộc tấn công trung gian chống lại chính phủ và các tổ chức phi chính phủ, phương tiện truyền thông, ISP và nhà cung cấp dịch vụ CNTT.

Việc mở rộng tấn công sang Hà Lan gần đây đã được các nhà phân tích tại Hunt & Hackett quan sát. Họ cho biết Sea Turtle vẫn là một nhóm đe dọa có mức độ phức tạp vừa phải, chủ yếu sử dụng các lỗ hổng đã biết và các tài khoản bị xâm phạm để truy cập ban đầu trong khi không che giấu được dấu vết hoạt động của chúng một cách hiệu quả.

Các cuộc tấn công gần đây

Hunt & Hackett cho biết họ đã quan sát hoạt động của Sea Turtle ở Hà Lan từ năm 2021 đến năm 2023, với các kỹ thuật và phần mềm độc hại mới được giới thiệu gần đây.

Các cuộc tấn công nhắm vào các tổ chức cụ thể và dường như tập trung vào việc thu thập thông tin tình báo kinh tế và chính trị phù hợp với lợi ích của nhà nước Thổ Nhĩ Kỳ.

Báo cáo cho biết: “Những cuộc tấn công mạng này được cho là do Sea Turtle dàn dựng vì có hoạt động phù hợp với lợi ích của Thổ Nhĩ Kỳ, báo hiệu sự leo thang trong việc Thổ Nhĩ Kỳ theo đuổi các mục tiêu ở Hà Lan”.

“Các chiến dịch được theo dõi ở Hà Lan dường như tập trung vào các nhà cung cấp dịch vụ viễn thông, truyền thông, ISP và dịch vụ CNTT và cụ thể hơn là các trang web của người Kurd (trong số các trang web khác có liên kết với PPK).”

Quyền truy cập ban đầu trong các cuộc tấn công được quan sát đạt được bằng cách sử dụng tài khoản cPanel bị xâm nhập để SSH vào cơ sở hạ tầng mục tiêu.

Một công cụ mới được triển khai trong các cuộc tấn công Sea Turtle gần đây là ‘SnappyTCP’, một shell TCP đảo ngược mã nguồn mở dành cho Linux cung cấp các khả năng ra lệnh và kiểm soát (C2) cơ bản.

Công cụ này vẫn hoạt động trên hệ thống để hoạt động như một cửa hậu liên tục bằng cách sử dụng lệnh ‘NoHup’, ngăn chặn việc chấm dứt nó ngay cả khi các tác nhân đe dọa đã đăng xuất.

Các nhà nghiên cứu cũng báo cáo việc cài đặt công cụ quản lý cơ sở dữ liệu Adminer trong thư mục chung của một trong những tài khoản cPanel bị xâm nhập, điều này giúp chúng có được quyền truy cập dữ liệu liên tục và khả năng thực thi lệnh SQL.

Để trốn tránh, Sea Turtle ghi đè các tệp nhật ký hệ thống Linux và hủy đặt các tệp lịch sử lệnh (Bash) và MySQL để xóa dấu vết về sự hiện diện và hoạt động của chúng.

Ngoài ra, Hunt & Hackett đã ghi lại nhiều trường hợp các tác nhân đe dọa kết nối với tài khoản cPanel bị xâm nhập bằng công cụ mạng riêng ảo (VPN).

Cuối cùng, khi nói đến việc đánh cắp dữ liệu, những kẻ tấn công đã tạo bản sao của kho lưu trữ email từ các tài khoản cPanel bị xâm nhập và cài đặt chúng vào thư mục web công khai của một trang web để sẵn sàng tải xuống.

Công cụ SnappyTCP, giống như hầu hết các shell đảo ngược, cũng có thể được sử dụng để lọc dữ liệu trực tiếp đến máy chủ C2 bằng kết nối TCP hoặc HTTP.

Hunt & Hackett chưa thấy trường hợp nào đánh cắp thông tin xác thực sau thỏa thuận, di chuyển ngang hoặc thao túng/xóa sạch dữ liệu trong các cuộc tấn công này.

Mặc dù các kỹ thuật của Sea Turtle được phân loại là phức tạp ở mức độ vừa phải nhưng nhóm này vẫn tiếp tục gây ra mối đe dọa đáng kể cho các tổ chức trên toàn cầu.

Các đề xuất để giảm thiểu mối đe dọa này bao gồm triển khai giám sát mạng nghiêm ngặt, bật MFA trên tất cả các tài khoản quan trọng và giảm mức độ tiếp xúc với SSH đối với các hệ thống được yêu cầu tối thiểu.

Nguồn: bleepingcomputer.com