近日，海龜網(wǎng)絡(luò)間諜組織（又稱為Teal Kurma、Marbled Dust、SILICON和Cosmic Wolf）針對荷蘭電信、媒體、互聯(lián)網(wǎng)服務(wù)提供商、IT服務(wù)提供商以及庫爾德語網(wǎng)站進行了攻擊。

據(jù)了解，該組織的攻擊目標包括政府實體、庫爾德（政治）團體（如庫爾德工人黨 PKK）、電信、互聯(lián)網(wǎng)服務(wù)提供商、IT服務(wù)提供商（包括安全公司）、非政府組織，以及媒體與娛樂行業(yè)。

荷蘭安全公司Hunt & Hackett研究人員表示，自2017年以來，與土耳其有關(guān)聯(lián)的APT組織海龜一直保持活躍狀態(tài)，主要針對歐洲和中東地區(qū)的組織。

2017年至2019年，該組織在行動中使用了DNS劫持技術(shù)。

2021年10月，微軟注意到海龜APT組織進行的情報收集活動與土耳其的戰(zhàn)略利益一致。

在最近的攻擊中，海龜網(wǎng)絡(luò)間諜組織利用供應(yīng)鏈攻擊和島嶼跳躍攻擊了目標的基礎(chǔ)設(shè)施，收集了少數(shù)群體成員和持不同政治意見者的個人信息。

Hunt & Hackett 發(fā)布的報告中指出，被盜取的信息很可能會被用來對特定團體或個人進行監(jiān)視或情報搜集，這和2020年美國官員披露的為土耳其利益行動的黑客組織的說法一致。這些黑客組織關(guān)注的是受害者的身份和位置，包括那些對土耳其具有地緣政治重要性的國家的政府。

該組織的作案手法包括攔截前往受害網(wǎng)站的互聯(lián)網(wǎng)流量，并可能在未經(jīng)授權(quán)的情況下獲取政府網(wǎng)絡(luò)和其他組織的訪問權(quán)限。

在2023年最近的一次行動中，該組織使用了一個名為SnappyTCP的反向TCP shell攻擊Linux/Unix系統(tǒng)。

除此之外，該組織還使用了一個可能受到威脅行為者控制的公開可訪問的GitHub賬戶中的代碼。研究人員還發(fā)現(xiàn)，該組織入侵了cPanel賬戶，并利用SSH技術(shù)初步訪問了目標組織環(huán)境，至少收集了其中一個受害組織的電子郵件存檔。

為減輕海龜攻擊的風險，Hunt & Hackett研究人員提出以下建議：

1. 部署端點檢測和響應(yīng)（EDR）系統(tǒng)，并監(jiān)控系統(tǒng)的網(wǎng)絡(luò)連接、執(zhí)行的進程、文件的創(chuàng)建/修改/刪除以及賬戶活動，并將日志文件存儲在以一個中央位置，確保有足夠的存儲容量用于歷史取證調(diào)查。
2. 制定并執(zhí)行一個密碼策略，為特定賬戶設(shè)定足夠的復(fù)雜性要求。
3. 將密碼存儲在一個秘密管理系統(tǒng)中，該系統(tǒng)也可供開發(fā)環(huán)境使用。
4. 限制賬戶的登錄嘗試次數(shù)，以減少暴力破解攻擊成功的機會。
5. 在所有對外開放的賬戶上啟用雙因素認證（2FA）。
6. 保持軟件更新，以減少對外開放系統(tǒng)的漏洞數(shù)量。
7. 減少可以通過互聯(lián)網(wǎng)使用SSH訪問的系統(tǒng)數(shù)量，在必要情況下，建議實施SSH登錄的速率限制。
8. 實施出口網(wǎng)絡(luò)過濾，防止惡意進程（如反向Shell）成功向未授權(quán)的IP地址發(fā)送網(wǎng)絡(luò)流量。

另外，報告還提到了妥協(xié)指標（IoCs）。