Deniz Kaplumbağası Siber Casusluk Kampanyası Hollandalı Bilişim ve Telekom Şirketlerini Hedef Alıyor
Hollanda'daki telekomünikasyon, medya, internet servis sağlayıcıları (İSS'ler), bilgi teknolojisi (BT) hizmet sağlayıcıları ve Kürtçe web siteleri, Deniz Kaplumbağası olarak bilinen bir Türkiye bağlantılı tehdit aktörü tarafından yürütülen yeni bir siber casusluk kampanyasının parçası olarak hedef alındı
Hollandalı güvenlik firması Hunt & Hackett Cuma günü yaptığı bir analizde, "Hedeflerin altyapısı, saldırı grubunun azınlık grupları ve potansiyel siyasi muhalifler hakkında kişisel bilgiler gibi siyasi güdümlü bilgileri toplamak için kullandığı tedarik zinciri ve ada atlamalı saldırılara karşı hassastı" dedi.
"Çalınan bilgilerin, belirli gruplar ve/veya bireyler üzerinde gözetim veya istihbarat toplama için kullanılması muhtemeldir."
Kozmik Kurt, Mermer Tozu (eski adıyla Silikon), Teal Kurma ve UNC1326 isimleriyle de bilinen Deniz Kaplumbağası, ilk olarak Nisan 2019'da Cisco Talos tarafından belgelendi ve Orta Doğu ve Kuzey Afrika'daki kamu ve özel kuruluşları hedef alan devlet destekli saldırıları detaylandırdı.
Grupla ilişkili faaliyetlerin Ocak 2017'den beri devam ettiğine inanılıyor ve öncelikle belirli bir etki alanını sorgulamaya çalışan olası hedefleri, kimlik bilgilerini toplayabilen aktör tarafından kontrol edilen bir sunucuya yönlendirmek için DNS ele geçirme işleminden yararlanıyor.
Talos, "Deniz Kaplumbağası kampanyası, aktörün çeşitli DNS kayıt şirketlerini ve kayıt defterlerini hedefleme metodolojisi göz önüne alındığında, neredeyse kesinlikle DNSpionage'dan daha ciddi bir tehdit oluşturuyor" dedi.
2021'in sonlarında Microsoft, düşmanın Ermenistan, Kıbrıs, Yunanistan, Irak ve Suriye gibi ülkelerden stratejik Türk çıkarlarını karşılamak için istihbarat topladığını ve bilinen güvenlik açıklarından yararlanarak "arzu ettikleri hedefin yukarısında bir dayanak noktası oluşturmak" amacıyla telekom ve BT şirketlerini vurduğunu kaydetti.
Ardından geçen ay, PricewaterhouseCoopers (PwC) Tehdit İstihbaratı ekibine göre, düşmanın 2021 ve 2023 yılları arasında gerçekleştirilen saldırılarda SnappyTCP adlı Linux (ve Unix) sistemleri için basit bir ters TCP kabuğu kullandığı ortaya çıktı.
Şirket, "Web kabuğu, temel [komut ve kontrol] yeteneklerine sahip Linux / Unix için basit bir ters TCP kabuğudur ve muhtemelen kalıcılık oluşturmak için kullanılır" dedi. "En az iki ana varyant var; biri TLS üzerinden güvenli bir bağlantı oluşturmak için OpenSSL kullanırken, diğeri bu özelliği atlar ve istekleri açık metin olarak gönderir."
Hunt & Hackett'in son bulguları, Deniz Kaplumbağası'nın gizli casusluk odaklı bir grup olmaya devam ettiğini, radarın altında uçmak ve e-posta arşivlerini toplamak için savunmadan kaçınma teknikleri uyguladığını gösteriyor.
2023'te gözlemlenen saldırılardan birinde, SnappyTCP'yi sisteme dağıtmak için ilk erişim vektörü olarak güvenliği ihlal edilmiş ancak meşru bir cPanel hesabı kullanıldı. Saldırganların kimlik bilgilerini nasıl elde ettiği şu anda bilinmiyor.
Firma, "Tehdit aktörü, SnappyTCP'yi kullanarak, internetten erişilebilen web sitesinin genel web dizininde, tar aracıyla oluşturulan bir e-posta arşivinin bir kopyasını oluşturmak için sisteme komutlar gönderdi" dedi.
"Tehdit aktörünün, dosyayı doğrudan web dizininden indirerek e-posta arşivini sızdırmış olması kuvvetle muhtemeldir."
Bu tür saldırıların oluşturduğu riskleri azaltmak için kuruluşların güçlü parola politikaları uygulaması, iki faktörlü kimlik doğrulama (2FA) uygulaması, kaba kuvvet girişimi olasılığını azaltmak için oturum açma girişimlerini sınırlaması, SSH trafiğini izlemesi ve tüm sistemleri ve yazılımları güncel tutması önerilir.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı