Công ty an ninh mạng Hunt & Hackett (Hà Lan) cho biết, nhóm tin tặc Sea Turtle triển khai chiến dịch với mục đích thu thập thông tin với động cơ chính trị như: thông tin cá nhân về các nhóm thiểu số và những người bất đồng chính kiến. Thông tin bị đánh cắp có khả năng bị khai thác để giám sát hoặc thu thập thông tin tình báo về các tổ chức hoặc cá nhân cụ thể.
Sea Turtle còn được biết đến với tên Cosmic Wolf, Marbled Dust, Teal Kurma và UNC1326, lần đầu tiên được Cisco Talos phát hiện vào tháng 4/2019, mô tả chi tiết các cuộc tấn công do nhà nước tài trợ nhắm vào các thực thể công cộng và tư nhân ở Trung Đông và Bắc Phi.
Các hoạt động liên quan đến nhóm được cho là đã diễn ra kể từ tháng 01/2017, chủ yếu tận dụng việc chiếm quyền điều khiển DNS để chuyển hướng các mục tiêu tiềm năng, cố gắng truy vấn một tên miền cụ thể đến một máy chủ do tin tặc kiểm soát có khả năng thu thập thông tin đăng nhập.
Vào cuối năm 2021, Microsoft lưu ý rằng tin tặc thực hiện thu thập thông tin tình báo để phục vụ các lợi ích chiến lược của Thổ Nhĩ Kỳ từ các quốc gia như Armenia, Hy Lạp, Iraq và Syria. Các cuộc tấn công nhắm vào công ty viễn thông và CNTT với mục đích thiết lập chỗ đứng trước mục tiêu mong muốn của họ thông qua việc khai thác các lỗ hổng đã biết.
Theo công ty tư vấn an ninh mạng PricewaterhouseCoopers (PwC), vào tháng trước, tin tặc đã sử dụng một shell TCP ngược đơn giản cho các hệ thống Linux và Unix có tên là SnappyTCP trong các cuộc tấn công được thực hiện từ năm 2021 đến năm 2023.
Công ty này cho biết, Web shell là một shell TCP đảo ngược đơn giản dành cho Linux/Unix có khả năng ra lệnh và kiểm soát cơ bản, đồng thời nó cũng có khả năng được sử dụng để thiết lập tính bền vững. Có ít nhất hai biến thể chính, một biến thể sử dụng OpenSSL để tạo kết nối an toàn qua TLS, trong khi biến thể kia bỏ qua khả năng này và gửi yêu cầu dưới dạng văn bản rõ ràng.
Những phát hiện mới nhất từ Hunt & Hackett cho thấy Sea Turtle là một nhóm tin tặc tập trung vào hoạt động gián điệp lén lút, thực hiện các kỹ thuật để tránh rò quét và thu thập tài liệu lưu trữ email.
Một trong những cuộc tấn công được quan sát vào năm 2023 khi một tài khoản cPanel bị xâm phạm được sử dụng làm vectơ truy cập ban đầu để triển khai SnappyTCP trên hệ thống. Hiện tại vẫn chưa biết làm cách nào những kẻ tấn công có được thông tin đăng nhập.
Bằng cách sử dụng SnappyTCP, tin tặc đã gửi lệnh đến hệ thống để tạo một bản sao của kho lưu trữ email được tạo bằng công cụ Tar, trong thư mục web công khai của trang web có thể truy cập được từ Internet. Rất có khả năng tin tặc đã trích xuất kho lưu trữ email bằng cách tải xuống tệp trực tiếp từ thư mục web.
Để giảm thiểu rủi ro do các cuộc tấn công như vậy gây ra, các tổ chức nên thực thi chính sách mật khẩu mạnh, thực hiện xác thực hai yếu tố (2FA), giới hạn số lần đăng nhập, giám sát lưu lượng SSH và thường xuyên cập nhật các bản ván cho các hệ thống và phần mềm.
Trường An
(theo thehackernews)
17:00 | 22/12/2023
08:00 | 24/10/2023
14:00 | 23/11/2023
23:00 | 28/09/2023
09:00 | 01/02/2025
Redis - Hệ thống lưu trữ dữ liệu NoSQL mã nguồn mở phổ biến vừa phát hiện tồn tại 2 lỗ hổng bảo mật đe dọa đến hàng triệu người dùng.
09:00 | 24/01/2025
Nhiều người dùng macOS cho rằng kiến trúc dựa trên Unix của nền tảng này và thị phần sử dụng thấp hơn so với Windows, khiến nó trở thành mục tiêu kém hấp dẫn đối với tội phạm mạng và do đó có khả năng ít bị lây nhiễm phần mềm độc hại. Mặc dù macOS có bao gồm các tính năng bảo mật mạnh mẽ như Gatekeeper, XProtect và sandbox, nhưng sự gia tăng hoạt động gần đây của phần mềm đánh cắp thông tin Banshee đóng vai trò như một lời nhắc nhở rằng không có hệ điều hành nào miễn nhiễm với các mối đe dọa.
10:00 | 20/11/2024
Cảnh sát Hàn Quốc đã bắt giữ 215 người bị nghi đánh cắp 320 tỷ won (228,4 triệu USD) trong vụ lừa đảo đầu tư tiền kỹ thuật số lớn nhất tại nước này.
09:00 | 08/11/2024
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025