报告指出，“这些目标的基础设施疑似遭供应链和跳岛攻击，攻击组织借此收集多种受政治利益驱动的信息如少数团体的个人信息和潜在的政治异见人士。被盗信息可能被用于监控或收集特定团体或个人的情报。”

Sea Turtle 组织也被称为 “Costmic Wolf”、“Marbled Dust”、“Teal Kurma”和“UNC1326”等，由专注于研究中东和北非地区公私营实体遭国家黑客组织攻击的思科 Talos 团队首次在2019年4月发现。

与该组织相关联的活动被指至少始于2017年1月，它们主要利用 DNS 劫持重定向目标，试图将特定域名定向到受其控制的服务器，从而收割凭据。研究人员提到，“鉴于攻击者在攻击多个 DNS 注册商和注册表的方法，Sea Turtle 组织造成的威胁要比 DNSpionage 更严重。”

2021年末，微软注意到攻击者从多个国家收集情报，以满足土耳其的战略利益。这些国家包括亚美尼亚、塞浦路斯、希腊、伊拉克和叙利亚等。攻击者打击这些国家的电信和IT企业，目的是通过利用已知漏洞，“设立其所需目标上游的立足点”。

PwC 公司的威胁情报团队提到，上个月，攻击者被指利用针对 Linux 系统的一个简单 TCP shell 即 SnappyTCP 在2021年至2023年之间发动攻击。该公司指出，“web shell 是适用于具有基本C2能力的 Linux/Unix 的简单逆向 TCP shell，它也可能用于设立持久性。目前至少存在2个主要变体，其中一个使用 OpenSSL 创建TLS安全连接，另外一个缺失了这一能力，而是以明文形式发送请求。”

这次发现表明 Sea Turtle 仍然是一个隐秘的间谍组织，利用防御躲避技术收割邮件文档。在2023年的一次攻击活动中，一个遭攻陷但合法的 cPanel 账户被用于在系统部署 SnappyTCP 的初始访问向量。目前尚不清楚攻击者如何获得这些凭据。

该公司提到，“攻击者使用 SnappyTCP 向系统发送命令，通过工具栏在该网站的公开 web 目录中创建了邮件文档副本，而该目录可从互联网访问。威胁行动者很有可能通过直接从 web 目录下载文件的方式提取邮件文档。”

要缓解这类攻击造成的风险，建议组织机构执行强壮的密码策略、执行双因素认证机制、限制登录尝试次数以降低暴力破解几率、监控 SSH 流量并更新所有的系统和软件。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~