Công ty Hunt & Hackett (Hà Lan) cho biết, nhóm tin tặc Sea Turtle triển khai chiến dịch với mục đích thu thập thông tin với động cơ chính trị như: thông tin cá nhân về các nhóm thiểu số và những người bất đồng chính kiến. Thông tin bị đánh cắp có khả năng bị khai thác để giám sát hoặc về các tổ chức hoặc cá nhân cụ thể.

Sea Turtle còn được biết đến với tên Cosmic Wolf, Marbled Dust, Teal Kurma và UNC1326, lần đầu tiên được Cisco Talos phát hiện vào tháng 4/2019, mô tả chi tiết các cuộc tấn công do nhà nước tài trợ nhắm vào các thực thể công cộng và tư nhân ở Trung Đông và Bắc Phi.

Các hoạt động liên quan đến nhóm được cho là đã diễn ra kể từ tháng 01/2017, chủ yếu tận dụng việc  để chuyển hướng các mục tiêu tiềm năng, cố gắng truy vấn một tên miền cụ thể đến một máy chủ do tin tặc kiểm soát có khả năng thu thập thông tin đăng nhập.

Vào cuối năm 2021, Microsoft lưu ý rằng tin tặc thực hiện thu thập thông tin tình báo để phục vụ các lợi ích chiến lược của Thổ Nhĩ Kỳ từ các quốc gia như Armenia, Hy Lạp, Iraq và Syria. Các cuộc tấn công nhắm vào công ty viễn thông và CNTT với mục đích thiết lập chỗ đứng trước mục tiêu mong muốn của họ thông qua việc khai thác các lỗ hổng đã biết.

Theo công ty tư vấn an ninh mạng PricewaterhouseCoopers (PwC), vào tháng trước, tin tặc đã sử dụng một shell TCP ngược đơn giản cho các hệ thống Linux và Unix có tên là SnappyTCP trong các cuộc tấn công được thực hiện từ năm 2021 đến năm 2023.

Công ty này cho biết, Web shell là một shell TCP đảo ngược đơn giản dành cho Linux/Unix có khả năng ra lệnh và kiểm soát cơ bản, đồng thời nó cũng có khả năng được sử dụng để thiết lập tính bền vững. Có ít nhất hai biến thể chính, một biến thể sử dụng OpenSSL để tạo kết nối an toàn qua TLS, trong khi biến thể kia bỏ qua khả năng này và gửi yêu cầu dưới dạng văn bản rõ ràng.

Những phát hiện mới nhất từ Hunt & Hackett cho thấy Sea Turtle là một nhóm tin tặc tập trung vào lén lút, thực hiện các kỹ thuật để tránh rò quét và thu thập tài liệu lưu trữ email.

Một trong những cuộc tấn công được quan sát vào năm 2023 khi một tài khoản cPanel bị xâm phạm được sử dụng làm vectơ truy cập ban đầu để triển khai SnappyTCP trên hệ thống. Hiện tại vẫn chưa biết làm cách nào những kẻ tấn công có được thông tin đăng nhập.

Bằng cách sử dụng SnappyTCP, tin tặc đã gửi lệnh đến hệ thống để tạo một bản sao của kho lưu trữ email được tạo bằng công cụ Tar, trong thư mục web công khai của trang web có thể truy cập được từ Internet. Rất có khả năng tin tặc đã trích xuất kho lưu trữ email bằng cách tải xuống tệp trực tiếp từ thư mục web.

Để giảm thiểu rủi ro do các cuộc tấn công như vậy gây ra, các tổ chức nên thực thi chính sách mật khẩu mạnh, thực hiện xác thực hai yếu tố (2FA), giới hạn số lần đăng nhập, giám sát lưu lượng SSH và thường xuyên cập nhật các bản ván cho các hệ thống và phần mềm.