IMAPLoader Malware

Cybertrusselgruppen Tortoiseshell, der er forbundet med Iran, er blevet forbundet med en nylig stigning i vandhulsangreb. Disse angreb har til formål at frigøre en malware-stamme kendt som IMAPLoader.

IMAPLoader, der er klassificeret som en .NET malware, besidder evnen til at profilere målsystemer gennem indbyggede Windows-værktøjer. Dens primære funktion er at tjene som downloader for yderligere ondsindede nyttelaster. Malwaren anvender e-mail som en Command-and-Control (C2, C&C) kanal, der gør det muligt for den at udføre nyttelaster hentet fra e-mailvedhæftede filer. Ydermere initierer den eksekvering gennem udrulning af nye tjenester.

Tortoiseshell er en trusselskuespiller forbundet med talrige angrebskampagner

Tortoiseshell, der har fungeret siden mindst 2018, har en track record i at anvende strategiske kompromiser af websteder for at lette distribution af malware. I begyndelsen af 2023 identificerede forskere gruppen som ansvarlig for brud på otte websteder, der er knyttet til shipping-, logistik- og finansielle servicevirksomheder i Israel.

Denne trusselsaktør er tilknyttet Islamic Revolutionary Guard Corps (IRGC). Han er anerkendt af det bredere cybersikkerhedssamfund af forskellige navne, herunder Crimson Sandstorm (tidligere Curium), Imperial Kitten, TA456 og Yellow Liderc.

I den seneste bølge af angreb, der spænder fra 2022 til 2023, brugte gruppen taktikken med at indlejre truende JavaScript på kompromitterede legitime websteder. Denne tilgang havde til formål at indsamle detaljerede oplysninger om besøgende, herunder deres placering, enhedsdetaljer og tidspunktet for deres besøg.

De specifikke mål for disse indtrængen var maritime, skibsfart og logistiksektorer i Middelhavsområdet. I visse tilfælde førte disse angreb til indsættelsen af IMAPLoader som en efterfølgende nyttelast, især når offeret blev anset for et mål af høj værdi.

IMAPLoader-malwaren er en essentiel komponent i en flertrinsangrebskæde

IMAPLoader siges at være en erstatning for et Python-baseret IMAP-implantat Tortoiseshell, der tidligere blev brugt i slutningen af 2021 og begyndelsen af 2022, på grund af lighederne i funktionaliteten. Malwaren fungerer som en downloader til næste trins nyttelast ved at forespørge på hårdkodede IMAP-e-mail-konti, specifikt kontrollere en postkassemappe, der er stavet forkert som 'Recive' for at hente de eksekverbare filer fra meddelelsesvedhæftningen.

I en alternativ angrebskæde bruges et Microsoft Excel-lokkedokument som en indledende vektor til at kickstarte en flertrinsproces til at levere og eksekvere IMAPLoader, hvilket indikerer, at trusselsaktøren bruger adskillige taktikker og teknikker til at realisere sine strategiske mål.

Forskere har også opdaget phishing-websteder oprettet af Tortoiseshell, hvoraf nogle er rettet mod rejse- og gæstfrihedssektoren i Europa, for at foretage indsamling af legitimationsoplysninger ved hjælp af falske Microsoft-logon-sider.

Denne trusselsaktør er fortsat en aktiv og vedvarende trussel mod mange industrier og lande, herunder maritime, skibsfart og logistiksektorer i Middelhavet; atom-, rumfarts- og forsvarsindustrien i USA og Europa og it-administrerede tjenesteudbydere i Mellemøsten.are-opdateringer inkluderer ofte afgørende rettelser til sårbarheder, der kunne udnyttes af cyberkriminelle. Validering af automatiske opdateringer er en praktisk måde at sikre, at din enhed er forstærket mod nye trusler.