Κακόβουλο λογισμικό IMALoader

Η ομάδα απειλών στον κυβερνοχώρο Tortoiseshell, που συνδέεται με το Ιράν, έχει συνδεθεί με μια πρόσφατη αύξηση των επιθέσεων. Αυτές οι επιθέσεις στοχεύουν να απελευθερώσουν ένα στέλεχος κακόβουλου λογισμικού γνωστό ως IMAPLoader.

Το IMAPLoader, που ταξινομείται ως κακόβουλο λογισμικό .NET, διαθέτει τη δυνατότητα δημιουργίας προφίλ συστημάτων στόχευσης μέσω εγγενών εργαλείων των Windows. Η κύρια λειτουργία του είναι να χρησιμεύει ως πρόγραμμα λήψης για επιπλέον κακόβουλα ωφέλιμα φορτία. Το κακόβουλο λογισμικό χρησιμοποιεί το email ως κανάλι Command-and-Control (C2, C&C), επιτρέποντάς του να εκτελεί ωφέλιμα φορτία που ανακτώνται από συνημμένα email. Επιπλέον, ξεκινά την εκτέλεση μέσω της ανάπτυξης νέων υπηρεσιών.

Το Tortoiseshell είναι ένας ηθοποιός απειλών που σχετίζεται με πολυάριθμες εκστρατείες επιθέσεων

Λειτουργώντας τουλάχιστον από το 2018, η Tortoiseshell έχει ιστορικό χρήσης στρατηγικών συμβιβασμών ιστοτόπων για τη διευκόλυνση της διανομής κακόβουλου λογισμικού. Στις αρχές του 2023, οι ερευνητές αναγνώρισαν την ομάδα ως υπεύθυνη για την παραβίαση οκτώ ιστοσελίδων που συνδέονται με εταιρείες ναυτιλίας, εφοδιαστικής και χρηματοοικονομικών υπηρεσιών στο Ισραήλ.

Αυτός ο παράγοντας απειλής συνδέεται με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης (IRGC). Αναγνωρίζεται από την ευρύτερη κοινότητα της κυβερνοασφάλειας με διάφορα ονόματα, όπως το Crimson Sandstorm (προηγουμένως Curium), το Imperial Kitten, το TA456 και το Yellow Liderc.

Στο πρόσφατο κύμα επιθέσεων που εκτείνεται από το 2022 έως το 2023, η ομάδα χρησιμοποίησε την τακτική της ενσωμάτωσης απειλητικής JavaScript σε παραβιασμένους νόμιμους ιστότοπους. Αυτή η προσέγγιση είχε στόχο να συγκεντρώσει λεπτομερείς πληροφορίες σχετικά με τους επισκέπτες, συμπεριλαμβανομένης της τοποθεσίας τους, των στοιχείων της συσκευής και του χρόνου των επισκέψεών τους.

Οι συγκεκριμένοι στόχοι αυτών των εισβολών ήταν οι τομείς της ναυτιλίας, της ναυτιλίας και της εφοδιαστικής στην περιοχή της Μεσογείου. Σε ορισμένες περιπτώσεις, αυτές οι επιθέσεις οδήγησαν στην ανάπτυξη του IMAPLoader ως επακόλουθο ωφέλιμο φορτίο, ειδικά όταν το θύμα θεωρήθηκε στόχος υψηλής αξίας.

Το κακόβουλο λογισμικό IMAPLoader είναι ένα ουσιαστικό στοιχείο σε μια αλυσίδα επιθέσεων πολλαπλών σταδίων

Το IMAPLoader λέγεται ότι αντικαθιστά ένα εμφύτευμα Tortoiseshell IMAP που βασίζεται σε Python που χρησιμοποιήθηκε προηγουμένως στα τέλη του 2021 και στις αρχές του 2022, λόγω των ομοιοτήτων στη λειτουργικότητα. Το κακόβουλο λογισμικό λειτουργεί ως πρόγραμμα λήψης για ωφέλιμα φορτία επόμενου σταδίου υποβάλλοντας ερωτήματα σε λογαριασμούς email IMAP με σκληρό κώδικα, ελέγχοντας συγκεκριμένα έναν φάκελο γραμματοκιβωτίου με ορθογραφικό λάθος ως «Recive» για να ανακτήσετε τα εκτελέσιμα αρχεία από τα συνημμένα μηνυμάτων.

Σε μια εναλλακτική αλυσίδα επίθεσης, ένα έγγραφο δόλωμα του Microsoft Excel χρησιμοποιείται ως αρχικό διάνυσμα για την έναρξη μιας διαδικασίας πολλαπλών σταδίων για την παράδοση και την εκτέλεση του IMAPLoader, υποδεικνύοντας ότι ο παράγοντας απειλής χρησιμοποιεί πολλές τακτικές και τεχνικές για να πραγματοποιήσει τους στρατηγικούς του στόχους.

Οι ερευνητές ανακάλυψαν επίσης ιστότοπους phishing που δημιουργήθηκαν από την Tortoiseshell, ορισμένοι από τους οποίους απευθύνονται στους τομείς των ταξιδιών και της φιλοξενίας στην Ευρώπη, για τη διεξαγωγή συλλογής διαπιστευτηρίων χρησιμοποιώντας ψεύτικες σελίδες σύνδεσης της Microsoft.

Αυτός ο παράγοντας απειλής παραμένει ενεργός και επίμονη απειλή για πολλές βιομηχανίες και χώρες, συμπεριλαμβανομένων των τομέων της ναυτιλίας, της ναυτιλίας και της εφοδιαστικής στη Μεσόγειο. πυρηνικές, αεροδιαστημικές και αμυντικές βιομηχανίες στις ΗΠΑ και την Ευρώπη και οι πάροχοι υπηρεσιών ΤΠ στη Μέση Ανατολή. Οι ενημερώσεις συχνά περιλαμβάνουν κρίσιμες επιδιορθώσεις για τρωτά σημεία που θα μπορούσαν να εκμεταλλευτούν οι εγκληματίες του κυβερνοχώρου. Η επικύρωση αυτόματων ενημερώσεων είναι ένας βολικός τρόπος για να διασφαλίσετε ότι η συσκευή σας είναι ενισχυμένη έναντι αναδυόμενων απειλών.