Die „Sea Turtle“-Cyber-Spionage-Kampagne, die von einer mit der Türkei verbundenen Bedrohungsgruppe durchgeführt wird, hat Telekommunikations-, Medien-, Internetdienstanbieter und IT-Dienstleister sowie kurdische Websites in den Niederlanden ins Visier genommen. Die Kampagne zielt darauf ab, politisch motivierte Informationen wie persönliche Daten von Minderheitengruppen und potenziellen politischen Dissidenten zu sammeln. Die Gruppe, die auch als Cosmic Wolf, Marbled Dust, Teal Kurma und UNC1326 bekannt ist, wurde erstmals im April 2019 von Cisco Talos dokumentiert und führt seit Januar 2017 Aktivitäten durch, die hauptsächlich auf DNS-Hijacking basieren, um Anmeldeinformationen zu ernten.
Die Sea Turtle-Kampagne nutzt Angriffe auf die Lieferkette und sog. „Island-Hopping“ für DNS-Hijacking, um Unix-Systeme zu kompromittieren. Dabei werden Opfer, die versuchen, eine bestimmte Domain zu erreichen, auf einen vom Angreifer kontrollierten Server umgeleitet, der ihre Anmeldeinformationen erfassen kann. Im Jahr 2023 beobachtete man, dass die Angreifer einen kompromittierten, aber legitimen cPanel-Account als initialen Zugangspunkt nutzten, um SnappyTCP auf dem System einzusetzen. SnappyTCP ist eine einfache Reverse-TCP-Shell für Linux/Unix-Systeme mit Basis-Command-and-Control-Fähigkeiten. Durch diese Methode können die Angreifer Befehle senden, um Kopien von E-Mail-Archiven zu erstellen und möglicherweise zu exfiltrieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: