近日，海龜網絡間諜組織（又稱為Teal Kurma、Marbled Dust、SILICON和Cosmic Wolf）針對荷蘭電信、媒體、互聯網服務提供商、IT服務提供商以及庫爾德語網站進行了攻擊。

據了解，該組織的攻擊目標包括政府實體、庫爾德（政治）團體（如庫爾德工人黨 PKK）、電信、互聯網服務提供商、IT服務提供商（包括安全公司）、非政府組織，以及媒體與娛樂行業。

荷蘭安全公司Hunt & Hackett研究人員表示，自2017年以來，與土耳其有關聯的APT組織海龜一直保持活躍狀態，主要針對歐洲和中東地區的組織。

2017年至2019年，該組織在行動中使用了DNS劫持技術。

2021年10月，微軟注意到海龜APT組織進行的情報收集活動與土耳其的戰略利益一致。

在最近的攻擊中，海龜網絡間諜組織利用供應鏈攻擊和島嶼跳躍攻擊了目標的基礎設施，收集了少數群體成員和持不同政治意見者的個人信息。

Hunt & Hackett 發布的報告中指出，被盜取的信息很可能會被用來對特定團體或個人進行監視或情報搜集，這和2020年美國官員披露的為土耳其利益行動的黑客組織的說法一致。這些黑客組織關注的是受害者的身份和位置，包括那些對土耳其具有地緣政治重要性的國家的政府。

該組織的作案手法包括攔截前往受害網站的互聯網流量，并可能在未經授權的情況下獲取政府網絡和其他組織的訪問權限。

在2023年最近的一次行動中，該組織使用了一個名為SnappyTCP的反向TCP shell攻擊Linux/Unix系統。

除此之外，該組織還使用了一個可能受到威脅行為者控制的公開可訪問的GitHub賬戶中的代碼。研究人員還發現，該組織入侵了cPanel賬戶，并利用SSH技術初步訪問了目標組織環境，至少收集了其中一個受害組織的電子郵件存檔。

為減輕海龜攻擊的風險，Hunt & Hackett研究人員提出以下建議：

1. 部署端點檢測和響應（EDR）系統，并監控系統的網絡連接、執行的進程、文件的創建/修改/刪除以及賬戶活動，并將日志文件存儲在以一個中央位置，確保有足夠的存儲容量用于歷史取證調查。
2. 制定并執行一個密碼策略，為特定賬戶設定足夠的復雜性要求。
3. 將密碼存儲在一個秘密管理系統中，該系統也可供開發環境使用。
4. 限制賬戶的登錄嘗試次數，以減少暴力破解攻擊成功的機會。
5. 在所有對外開放的賬戶上啟用雙因素認證（2FA）。
6. 保持軟件更新，以減少對外開放系統的漏洞數量。
7. 減少可以通過互聯網使用SSH訪問的系統數量，在必要情況下，建議實施SSH登錄的速率限制。
8. 實施出口網絡過濾，防止惡意進程（如反向Shell）成功向未授權的IP地址發送網絡流量。

另外，報告還提到了妥協指標（IoCs）。