البرامج الضارة IMAPLloader

تم ربط مجموعة التهديد السيبراني Tortoiseshell، المرتبطة بإيران، بالزيادة الأخيرة في هجمات حفر المياه. تهدف هذه الهجمات إلى إطلاق العنان لسلالة من البرامج الضارة المعروفة باسم IMAPLoader.

يتمتع IMAPLoader، المُصنف على أنه برنامج ضار من نوع .NET، بالقدرة على تعريف الأنظمة المستهدفة من خلال أدوات Windows الأصلية. وتتمثل وظيفتها الأساسية في العمل بمثابة أداة تنزيل لحمولات ضارة إضافية. تستخدم البرمجيات الخبيثة البريد الإلكتروني كقناة للأوامر والتحكم (C2، C&C)، مما يمكنها من تنفيذ الحمولات المستردة من مرفقات البريد الإلكتروني. علاوة على ذلك، فإنه يبدأ التنفيذ من خلال نشر خدمات جديدة.

تعتبر Tortoiseshell جهة تهديد مرتبطة بالعديد من حملات الهجوم

تعمل شركة Tortoiseshell منذ عام 2018 على الأقل، ولديها سجل حافل في استخدام التنازلات الإستراتيجية لمواقع الويب لتسهيل توزيع البرامج الضارة. وفي أوائل عام 2023، حدد الباحثون المجموعة على أنها مسؤولة عن اختراق ثمانية مواقع إلكترونية مرتبطة بشركات الشحن والخدمات اللوجستية والخدمات المالية في إسرائيل.

يرتبط ممثل التهديد هذا بالحرس الثوري الإسلامي (IRGC). وهو معروف من قبل مجتمع الأمن السيبراني الأوسع بأسماء مختلفة، بما في ذلك Crimson Sandstorm (كوريوم سابقًا)، وImperial Kitten، وTA456، وYellow Liderc.

وفي الموجة الأخيرة من الهجمات التي امتدت من عام 2022 إلى عام 2023، استخدمت المجموعة تكتيك تضمين جافا سكريبت التهديدي في مواقع الويب الشرعية المخترقة. ويهدف هذا الأسلوب إلى جمع معلومات تفصيلية عن الزوار، تشمل موقعهم وتفاصيل أجهزتهم وتوقيت زياراتهم.

وكانت الأهداف المحددة لهذه التدخلات هي القطاعات البحرية والشحن والخدمات اللوجستية في منطقة البحر الأبيض المتوسط. في بعض الحالات، أدت هذه الهجمات إلى نشر IMAPLoader كحمولة لاحقة، خاصة عندما يتم اعتبار الضحية هدفًا عالي القيمة.

تعد البرامج الضارة IMAPLoader مكونًا أساسيًا في سلسلة الهجمات متعددة المراحل

يقال إن IMAPLoader هو بديل لزرعة Tortoiseshell المستندة إلى Python والتي تم استخدامها سابقًا في أواخر عام 2021 وأوائل عام 2022، وذلك بسبب أوجه التشابه في الوظائف. تعمل البرامج الضارة بمثابة أداة تنزيل لحمولات المرحلة التالية عن طريق الاستعلام عن حسابات البريد الإلكتروني IMAP المشفرة، وتحديدًا التحقق من مجلد صندوق البريد الذي به خطأ إملائي كـ "Recive" لاسترداد الملفات التنفيذية من مرفقات الرسائل.

في سلسلة هجمات بديلة، يتم استخدام مستند Microsoft Excel الخادع كموجه أولي لبدء عملية متعددة المراحل لتقديم وتنفيذ IMAPLloader، مما يشير إلى أن جهة التهديد تستخدم العديد من التكتيكات والتقنيات لتحقيق أهدافها الإستراتيجية.

اكتشف الباحثون أيضًا مواقع التصيد الاحتيالي التي أنشأتها شركة Tortoiseshell، والتي يستهدف بعضها قطاعي السفر والضيافة داخل أوروبا، لإجراء عملية جمع بيانات الاعتماد باستخدام صفحات تسجيل الدخول المزيفة إلى Microsoft.

يظل ممثل التهديد هذا يمثل تهديدًا نشطًا ومستمرًا للعديد من الصناعات والبلدان، بما في ذلك قطاعات النقل البحري والشحن والخدمات اللوجستية داخل البحر الأبيض المتوسط؛ الصناعات النووية والفضاءية والدفاعية في الولايات المتحدة وأوروبا ومقدمي الخدمات التي تديرها تكنولوجيا المعلومات في الشرق الأوسط. غالبًا ما تتضمن التحديثات إصلاحات حاسمة لنقاط الضعف التي يمكن أن يستغلها مجرمون الإنترنت. يعد التحقق من صحة التحديثات التلقائية طريقة مناسبة لضمان تحصين جهازك ضد التهديدات الناشئة.