Зловреден софтуер IMAPLoader

Групата за кибернетични заплахи Tortoiseshell, свързана с Иран, е свързана с неотдавнашен скок на атаките с водопои. Тези атаки имат за цел да отприщят злонамерен софтуер, известен като IMAPLoader.

IMAPLoader, класифициран като .NET злонамерен софтуер, притежава способността да профилира целеви системи чрез собствени инструменти на Windows. Неговата основна функция е да служи като програма за изтегляне на допълнителни злонамерени полезни товари. Зловреден софтуер използва имейл като канал за командване и управление (C2, C&C), което му позволява да изпълнява полезни данни, извлечени от прикачени файлове към имейл. Освен това, той инициира изпълнение чрез внедряване на нови услуги.

Turtoiseshell е заплаха, свързана с многобройни кампании за атака

Работейки поне от 2018 г., Tortoiseshell има опит в използването на стратегически компромиси на уебсайтове за улесняване на разпространението на зловреден софтуер. В началото на 2023 г. изследователите идентифицираха групата като отговорна за проникването на осем уебсайта, свързани с компании за доставка, логистика и финансови услуги в Израел.

Тази заплаха е свързана с Корпуса на гвардейците на ислямската революция (IRGC). Той е признат от по-широката общност за киберсигурност с различни имена, включително Crimson Sandstorm (преди това Curium), Imperial Kitten, TA456 и Yellow Liderc.

В неотдавнашната вълна от атаки, обхващащи от 2022 до 2023 г., групата използва тактиката за вграждане на заплашителен JavaScript в компрометирани легитимни уебсайтове. Този подход имаше за цел да събере подробна информация за посетителите, включваща тяхното местоположение, подробности за устройството и времето на техните посещения.

Конкретните цели на тези прониквания бяха морският, корабоплавателният и логистичният сектор в средиземноморския регион. В някои случаи тези атаки доведоха до внедряването на IMAPLoader като последващ полезен товар, особено когато жертвата се смяташе за цел с висока стойност.

Злонамереният софтуер IMAPLoader е съществен компонент във верига от многоетапни атаки

Твърди се, че IMAPLoader е заместител на базиран на Python IMAP имплант Tortoiseshell, използван преди това в края на 2021 г. и началото на 2022 г., поради приликите във функционалността. Злонамереният софтуер действа като програма за изтегляне на полезни товари на следващия етап, като прави заявки за твърдо кодирани IMAP имейл акаунти, по-специално проверявайки папка на пощенска кутия, грешно изписана като „Получаване“, за да извлече изпълнимите файлове от прикачените файлове към съобщението.

В алтернативна верига на атака документ-примамка на Microsoft Excel се използва като първоначален вектор за стартиране на многоетапен процес за доставяне и изпълнение на IMAPLoader, което показва, че заплахата използва множество тактики и техники за реализиране на своите стратегически цели.

Изследователите също са открили фишинг сайтове, създадени от Tortoiseshell, някои от които са насочени към секторите на пътуванията и хотелиерството в Европа, за извършване на събиране на идентификационни данни с помощта на фалшиви страници за влизане в Microsoft.

Тази заплаха остава активна и постоянна заплаха за много индустрии и държави, включително морския, корабоплавателния и логистичния сектор в Средиземно море; ядрената, космическата и отбранителната промишленост в САЩ и Европа и управляваните от ИТ доставчици на услуги в Близкия изток. Актуализациите често включват важни поправки за уязвимости, които могат да бъдат използвани от киберпрестъпници. Валидирането на автоматичните актуализации е удобен начин да се уверите, че вашето устройство е защитено срещу възникващи заплахи.