IMAPLoaderi pahavara

Iraaniga seotud küberohugruppi Tortoiseshell on seostatud hiljutise rünnakute kasvuga. Nende rünnakute eesmärk on vabastada pahavara tüvi, mida nimetatakse IMAPLoaderiks.

IMAPLoader, mis on klassifitseeritud .NET-i pahavaraks, suudab sihtsüsteeme profiilida Windowsi algtööriistade kaudu. Selle peamine ülesanne on olla täiendavate pahatahtlike koormuste allalaadijana. Pahavara kasutab meili Command-and-Control (C2, C&C) kanalina, mis võimaldab tal täita meilimanustest hangitud kasulikke koormusi. Lisaks käivitab see täitmise uute teenuste juurutamise kaudu.

Kilpkonnakarp on ohunäitleja, kes on seotud arvukate rünnakukampaaniatega

Vähemalt 2018. aastast tegutsenud Tortoiseshellil on pahavara levitamise hõlbustamiseks kasutatud veebisaitide strateegilisi kompromisse. 2023. aasta alguses tuvastasid teadlased, et rühm on vastutav kaheksa Iisraeli laevandus-, logistika- ja finantsteenuste ettevõtetega seotud veebisaidi rikkumise eest.

Seda ohutegijat seostatakse Islami revolutsioonilise kaardiväe korpusega (IRGC). Laiem küberjulgeoleku kogukond tunneb teda erinevate nimede järgi, sealhulgas Crimson Sandstorm (varem Curium), Imperial Kitten, TA456 ja Yellow Liderc.

Hiljutises aastatel 2022–2023 kestnud rünnakute laines kasutas rühmitus ähvardava JavaScripti manustamist ohustatud seaduslikele veebisaitidele. Selle lähenemisviisi eesmärk oli koguda külastajate kohta üksikasjalikku teavet, mis hõlmas nende asukohta, seadme üksikasju ja külastuste ajastust.

Nende sissetungide konkreetsed sihtmärgid olid Vahemere piirkonna merendus-, laevandus- ja logistikasektorid. Teatud juhtudel viisid need rünnakud IMAPLoaderi kasutuselevõtuni järgneva kasuliku koormana, eriti kui ohvrit peeti väärtuslikuks sihtmärgiks.

IMAPLoaderi pahavara on mitmeastmelise ründeahela oluline komponent

Väidetavalt asendab IMAPLoader Pythonil põhinevat IMAP-implantaati Tortoiseshell, mida varem kasutati 2021. aasta lõpus ja 2022. aasta alguses funktsionaalsuse sarnasuste tõttu. Pahavara toimib järgmise etapi kasulike koormuste allalaadijana, tehes päringuid kõvakodeeritud IMAP-i e-posti kontode kohta, kontrollides konkreetselt postkasti kausta, mis on valesti kirjutatud kui "Saada", et hankida sõnumimanuste käivitatavad failid.

Alternatiivses ründeahelas kasutatakse Microsoft Exceli peibutusdokumenti algvektorina IMAPLoaderi tarnimise ja käivitamise mitmeetapilise protsessi käivitamiseks, mis näitab, et ohus osaleja kasutab oma strateegiliste eesmärkide saavutamiseks mitmeid taktikaid ja tehnikaid.

Teadlased on avastanud ka Tortoishelli loodud andmepüügisaite, millest osa on suunatud Euroopa reisi- ja hotellindussektorile, et koguda mandaate võltsitud Microsofti sisselogimislehtede abil.

See ohustaja on jätkuvalt aktiivne ja püsiv oht paljudele tööstusharudele ja riikidele, sealhulgas Vahemere merendus-, laevandus- ja logistikasektorile; USA ja Euroopa tuuma-, lennundus- ja kaitsetööstus ning Lähis-Ida IT-haldatud teenusepakkujad. Värskendused sisaldavad sageli olulisi parandusi haavatavuste jaoks, mida küberkurjategijad võivad ära kasutada. Automaatsete värskenduste valideerimine on mugav viis tagada, et teie seade on uute ohtude eest kaitstud.