Malware IMAPLoader

Skupina kybernetických hrozeb Tortoiseshell, napojená na Írán, je spojována s nedávným nárůstem útoků na napajedla. Tyto útoky mají za cíl rozpoutat kmen malwaru známý jako IMAPLoader.

IMAPLoader, klasifikovaný jako .NET malware, má schopnost profilovat cílové systémy pomocí nativních nástrojů Windows. Jeho primární funkcí je sloužit jako stahovač dalších škodlivých dat. Malware využívá e-mail jako kanál Command-and-Control (C2, C&C), který mu umožňuje spouštět užitečné zatížení získané z e-mailových příloh. Kromě toho iniciuje provádění prostřednictvím nasazení nových služeb.

Tortoiseshell je hrozba spojená s četnými útočnými kampaněmi

Tortoiseshell, který funguje minimálně od roku 2018, má zkušenosti s využíváním strategických kompromisů webových stránek k usnadnění distribuce malwaru. Začátkem roku 2023 výzkumníci identifikovali skupinu jako odpovědnou za porušení osmi webových stránek spojených s přepravními, logistickými a finančními společnostmi v Izraeli.

Tento aktér hrozby je spojen s islámskými revolučními gardami (IRGC). Je uznáván širší komunitou kybernetické bezpečnosti pod různými jmény, včetně Crimson Sandstorm (dříve Curium), Imperial Kitten, TA456 a Yellow Liderc.

V nedávné vlně útoků v letech 2022 až 2023 skupina využila taktiku vkládání ohrožujícího JavaScriptu do kompromitovaných legitimních webových stránek. Cílem tohoto přístupu bylo shromáždit podrobné informace o návštěvnících, včetně jejich polohy, podrobností o zařízení a načasování jejich návštěv.

Konkrétními cíli těchto průniků byly námořní, lodní a logistické sektory v oblasti Středomoří. V určitých případech tyto útoky vedly k nasazení IMAPLoaderu jako následného užitečného zatížení, zvláště když byla oběť považována za cíl vysoké hodnoty.

Malware IMAPLoader je nezbytnou součástí vícefázového řetězce útoků

O IMAPLoader se říká, že je náhradou za implantát IMAP založený na Pythonu, který byl dříve používán koncem roku 2021 a začátkem roku 2022, a to kvůli podobnosti funkcí. Malware se chová jako stahovač pro další fázi dat tím, že se dotazuje na pevně zakódované e-mailové účty IMAP, konkrétně kontroluje složku poštovní schránky špatně napsanou jako „Přijmout“, aby načetl spustitelné soubory z příloh zpráv.

V alternativním řetězci útoků je návnadový dokument Microsoft Excel použit jako počáteční vektor k nastartování vícefázového procesu doručení a spuštění IMAPLoader, což naznačuje, že aktér hrozby používá četné taktiky a techniky k realizaci svých strategických cílů.

Výzkumníci také objevili phishingové stránky vytvořené společností Tortoiseshell, z nichž některé jsou zaměřeny na odvětví cestování a pohostinství v Evropě, za účelem shromažďování pověření pomocí falešných přihlašovacích stránek společnosti Microsoft.

Tento aktér hrozby zůstává aktivní a trvalou hrozbou pro mnoho průmyslových odvětví a zemí, včetně námořního, lodního a logistického odvětví ve Středomoří; jaderný, letecký a obranný průmysl v USA a Evropě a poskytovatelé služeb spravovaných IT na Středním východě. Aktualizace často zahrnují zásadní opravy zranitelností, které by mohli zneužít kyberzločinci. Ověřování automatických aktualizací je pohodlný způsob, jak zajistit, aby bylo vaše zařízení chráněno proti vznikajícím hrozbám.