在过去的一年里,亨特和哈克特观察到荷兰的网络攻击,据信这些攻击是由符合土耳其利益的网络威胁行为者策划的,这表明土耳其在西方国家追求目标的升级。Hunt & Hackett 已经开始追踪这个以 Sea Turtle、Teal Kurma、Marbled Dust、SILICON 和 Cosmic Wolf 等别名而闻名的团体。本博客旨在通过将我们的观察结果与该威胁行为者的已知作案手法保持一致,为当前现有的知识库做出贡献。这些信息旨在帮助(安全)组织更好地准备和防范该 APT 组织使用的方法和工具。
背景、动机和目标
Hunt & Hackett 认为,Sea Turtle 是一家总部位于土耳其的高级持续威胁 (APT) 行为者,其动机是通过针对公共和私人实体的信息盗窃进行间谍活动。从 2017 年到 2019 年,该行为者主要以 DNS 劫持而闻名 以实现其最终目标。此后,威胁行为者继续以类似部门为目标,但改变了其能力,可能试图逃避检测。从那时起,关于这个威胁行为者的公开信息一直有限。2021 年 10 月,Microsoft 揭示了 SILICON(也被称为海龟),揭示了他们对符合土耳其战略利益的情报收集的追求。希腊国家 CERT等其他组织也观察到了这一行为者,并在 2022 年分享了一些与该群体及其作案手法相关的妥协指标 (IOC)。除此之外,信息流仍然有限,这个行为者似乎主要在雷达下运作。 普华永道威胁情报报告“和马尔瓦哈尔”以及StrikeReady的一篇博客文章丰富了有限的公共知识库,详细介绍了这个威胁行为者的方法。
迄今为止,已知的是,海龟组织主要专注于针对欧洲和中东的组织。 研究表明,这种威胁行为者主要针对政府机构、库尔德(政治)团体,如库尔德工人党、非政府组织、电信实体、ISP、IT服务提供商以及媒体和娱乐组织,主要针对存放有价值和敏感数据的存储库。正如普华永道所指出的,电信公司保护客户信息,例如与网站连接和通话记录有关的元数据。此外,提供 ISP 托管、IT 和网络安全等技术服务的公司容易受到直接或通过供应链和跳岛策略的攻击。如果成功,被盗信息很可能会被用于监视或收集有关特定目标的情报。Sea Turtle 的作案手法包括拦截针对受害网站的互联网流量,可能允许未经授权访问政府网络和其他组织系统。这种定位方法有助于将行动与威胁参与者相关联,并为在类似地理区域或部门内运营的组织提供有价值的见解。他们在行动中使用反向外壳机制简化了敏感数据的收集和提取,从而推进了他们的议程。对受害者学的深入分析揭示了该威胁行为者寻求的特定数据类型。
荷兰的海龟运动
亨特和哈克特观察到海龟在荷兰进行了多次活动。这些攻击中使用的作案手法与前面提到的威胁情报报告中公布的作案手法和信息基本一致。
我们对他们其中一次攻击的调查表明,该组织表现出国家支持的网络间谍组织的特征,主要集中在通过间谍活动获取经济和政治情报,目的是促进土耳其的利益。Hunt & Hackett 已开始跟踪该组织,并观察到该威胁行为者针对荷兰特定组织的更多活动。据信,这些网络攻击是由海龟公司根据土耳其的利益策划的,标志着土耳其在荷兰境内追求目标的升级。
在荷兰观察到的运动似乎集中在电信、媒体、ISP和IT服务提供商,更具体地说是库尔德网站(以及其他与PPK有关联的网站)。目标的基础设施容易受到供应链和跳岛攻击的影响,攻击组织利用这些攻击来收集出于政治动机的信息,例如少数群体的个人信息和潜在的政治异议。被盗信息很可能被用于监视或收集特定团体和/或个人的情报。这似乎与美国官员在 2020 年关于黑客组织为土耳其利益行事的说法一致,重点关注受害者的身份和位置,其中包括对土耳其具有地缘政治意义的国家的政府。
Hunt & Hackett 观察到威胁行为者执行防御规避技术以避免被发现,并且还观察到威胁行为者收集潜在的敏感数据,例如电子邮件档案。 他们的作案手法包括拦截受害者网站的互联网流量,并可能允许未经授权访问政府网络和其他组织。
主要观察结果
在深入探讨细节之前,Hunt & Hackett 想提供一些关键观察结果的摘要。总体分析的这些关键点是针对在荷兰观察到的运动的:
- Hunt & Hackett 观察到了 2021 年至 2023 年间威胁行为者的活动,在 2023 年最近的一次活动中,一个名为 SnappyTCP for Linux/Unix 的反向 TCP shell 具有基本的命令和控制功能,已被用于在系统上建立持久性;
- Hunt & Hackett 观察到威胁行为者使用来自可公开访问的 GitHub 帐户的代码,并评估该帐户由威胁行为者控制的可能性很高。根据要求,可以提供此 GitHub 帐户的副本,因为存储库已被 GitHub 或用户删除;
- Hunt & Hackett 观察到威胁行为者破坏了 cPanel 帐户并使用 SSH 实现对组织 IT 环境的初始访问;
- Hunt & Hackett 观察到威胁行为者执行防御规避技术以避免被发现;
- Hunt & Hackett 观察到威胁行为者至少收集了多个受害者组织之一的电子邮件存档。
技术手段
MITRE ATT&CK是一个基于真实世界观察的对手战术和技术框架。利用此框架有助于了解和记录每个阶段的攻击路径,如图1 所示。第一列描述了战术目标,即威胁参与者执行操作的原因。接下来描述了相应的发现以验证作案手法,并将普华永道和StrikeReady最近威胁报告的观察结果与Hunt&Hackett的观察结果进行了比较,以验证Sea Turtle的作案手法。
图 1 - 映射到 MITRE ATT&CK 框架的攻击者活动概述,并与 PwC 的观察结果进行比较
技术活动详情
在研究该行为者时,Hunt & Hackett 观察到的最新活动是在 2023 年初发起的,当时威胁行为者针对多个组织。在其中一次攻击中,威胁行为者从属于 VPN 提供商范围的 IP 地址 登录了 cPanel,这是一个由全球多个组织使用的 Web 托管控制面板。这是一个合法的cPanel帐户,被攻击者入侵。不幸的是,目前尚不清楚他们是如何获得对cPanel凭据的访问权限的。几天后,当同一个 cPanel 帐户从属于托管提供商范围的 IP 地址 登录时,为该帐户创建了一个 cPanel WebMail 会话。此外,该帐户还用于从同一 IP 地址执行 SSH 登录。在这些登录之后,从该 .245 IP 地址下载了用编程语言“C”编写的反向 shell 的源代码文件。然后使用GCC编译这些源代码文件。对源代码文件的分析显示,它们包含与反向 shell 相同的特定代码,该 shell 存储在可公开访问的 GitHub 存储库中,据信该存储库被海龟攻击组织使用。普华永道(PwC)最近观察到了这种名为SnappyTCP的反向shell的使用,并同样将其归因于威胁行为者Sea Turtle。
在使用工具 NoHup 执行 SnappyTCP 之前,域名 forward.boord[.]info 和端口 443 被写入配置文件,它使用 HTTP 通过 TCP 连接以建立命令和控制 (C&C) 通道。 NoHup 确保 SnappyTCP 即使在 shell 或终端退出后仍能在系统上运行。在SSH会话结束时,通过取消设置命令历史记录(Bash)和MySQL历史记录文件并覆盖Linux系统日志来执行反取证。
几周后,cPanel Web 磁盘功能接受了另一个连接。这表明威胁参与者仍在使用此 cPanel 功能。根据连接后的操作,再加上源是不熟悉的 VPN 连接,此活动被归类为恶意活动。不久之后,工具Adminer被安装在其中一个被感染的cPanel帐户的公共网络目录中。Adminer 是一个公开可用的数据库管理工具,可用于远程登录系统的 MySQL 服务。之前确定的 Github 存储库存储了 SnappyTCP 的源代码,以及表明威胁参与者正在使用前面提到的 GitHub 存储库中托管的软件的工具 Adminer。
在第二次 cPanel Web 磁盘连接几周后,威胁行为者从 VPN 提供商 M247 (82.102.19[.]88),这可以解释为第二个cPanel帐户的妥协。随后,在同一个 cPanel 帐户上执行登录,并为该 cPanel 帐户创建了 WebMail 会话。
最后,使用 SnappyTCP,威胁参与者向系统发送命令,以在可从 Internet 访问的网站的公共 Web 目录中创建使用工具 tar 创建的电子邮件存档的副本。威胁参与者极有可能通过直接从 Web 目录下载文件来泄露电子邮件存档。
命令与控制
Hunt & Hackett 能够 从 Sea Turtle 使用的服务器之一下载 SnappyTCP 的源代码 (http[://]193.34.167[.]245/c00n/connn.c) 以及其他文件。如前所述,SnappyTCP 恶意软件读取包含域名和端口号的配置文件。根据恶意软件的版本以及是否必须加密连接,恶意软件会使用请求 URI“sy.php”执行 HTTP GET。 如果服务器返回标头“X-Auth-43245-S-20”,则SnappyTCP会检查输出是否具有足够的大小,以及第一个字符是否不以“@”开头。如果是这种情况,则使用服务器返回的 IP 和端口生成反向 shell。否则,整个序列将在短暂的睡眠后重新开始。
命令和控制(C&C)通道是用Hunt&Hackett认为是Socat的一种形式设置的,由Virustotal上的THOR APT扫描程序检测到。这也与 Socat 共享相同的命令行特征以及 Socat 也在同一服务器上发现的事实 (http[://]193.34.167.245/c00n/socat) 有关。 针对已知的 Sea Turtle C&C 服务器运行工具 Socat(或其修改版本)主要导致 HTTP 响应“@8.8.8.8:443”。由于代码检查字符串的开头是否以“@”开头,因此将忽略此输出。如图2所示,在撰写本文时,Sea Turtle的C&C服务器返回了与Google的DNS服务相关的IP地址和域名。
图 2 - Sea Turtle 使用的命令和控制服务器返回的响应
在撰写本文时,尚不清楚这些 C&C服务器是否用于在必要时通过从 C&C 服务器 更改来设置 C &C通道 。 如果它们在其他活动中使用。
建议
在对海龟运动的分析过程中,进行了多次观察。这些观察结果都引入了网络安全风险,或直接导致了进行类似攻击的可能性。因此,Hunt & Hackett 建议 IT 领域的电信提供商、ISP 和托管服务提供商等组织解决以下建议,以减少攻击面以及成为此威胁参与者受害者的可能性。
- 部署 EDR 并监控系统是否连接、执行的进程、文件创建/修改/删除和帐户活动,并将日志文件存储在一个中心位置。确保有足够的存储容量用于历史取证调查目的。
- 为特定帐户创建并强制实施具有足够复杂性要求的密码策略。
- 将密码存储在机密管理系统中,也可以由开发环境使用。
- 限制帐户的登录尝试,以减少暴力攻击成功的机会。
- 在所有外部公开的帐户上启用 2FA。
- 使软件保持最新状态,以减少外部暴露系统中的漏洞数量。
- 减少可以使用 SSH 通过 Internet 访问的系统数量。如果仍然需要这样做,建议实施 SSH 登录速率限制。
- 实施出口网络过滤,以防止恶意进程(如反向 shell)成功将网络流量发送到不允许的 IP 地址。
IOC
图 3 - 威胁参与者海龟的入侵指标
参考链接:https://www.huntandhackett.com/blog/turkish-espionage-campaigns
图片来源网络目标可联系删除
