بدافزار IMAPLoader

گروه تهدید سایبری Tortoiseshell که به ایران متصل است با افزایش حملات اخیر در ارتباط است. هدف از این حملات رها کردن یک نوع بدافزار به نام IMAPLoader است.

IMAPLoader که به عنوان یک بدافزار دات نت طبقه بندی می شود، دارای قابلیت نمایه سازی سیستم های هدف از طریق ابزارهای بومی ویندوز است. عملکرد اصلی آن این است که به عنوان دانلود کننده برای بارهای مخرب اضافی خدمت کند. این بدافزار از ایمیل به عنوان یک کانال Command-and-Control (C2, C&C) استفاده می‌کند و آن را قادر می‌سازد تا بارهای بازیابی شده از پیوست‌های ایمیل را اجرا کند. علاوه بر این، اجرا را از طریق استقرار خدمات جدید آغاز می کند.

Tortoiseshell یک بازیگر تهدید کننده است که با کمپین های متعدد حمله مرتبط است

Tortoiseshell که حداقل از سال 2018 فعالیت می کند، سابقه ای در استفاده از مصالحه استراتژیک از وب سایت ها برای تسهیل توزیع بدافزار دارد. در اوایل سال 2023، محققان این گروه را مسئول نقض هشت وب سایت مرتبط با شرکت های حمل و نقل، تدارکات و خدمات مالی در اسرائیل معرفی کردند.

این بازیگر تهدید با سپاه پاسداران انقلاب اسلامی ارتباط دارد. او توسط جامعه امنیت سایبری گسترده تر با نام های مختلفی از جمله Crimson Sandstorm (قبلاً Curium)، امپریال کیتن، TA456 و Yellow Liderc شناخته می شود.

در موج اخیر حملات از سال 2022 تا 2023، این گروه از تاکتیک جاسازی جاوا اسکریپت تهدید آمیز در وب سایت های قانونی در معرض خطر استفاده کرد. این رویکرد با هدف جمع‌آوری اطلاعات دقیق در مورد بازدیدکنندگان، شامل موقعیت مکانی، جزئیات دستگاه و زمان بازدید آنها انجام شد.

اهداف خاص این نفوذ، بخش های دریایی، کشتیرانی و لجستیک در منطقه مدیترانه بود. در مواردی خاص، این حملات منجر به استقرار IMAPLoader به عنوان یک محموله بعدی شد، به خصوص زمانی که قربانی یک هدف با ارزش در نظر گرفته می شد.

بدافزار IMAPLoader یک جزء ضروری در زنجیره حمله چند مرحله ای است.

گفته می‌شود IMAPLoader جایگزینی برای Tortoiseshell ایمپلنت IMAP مبتنی بر پایتون است که قبلاً در اواخر سال 2021 و اوایل سال 2022 استفاده می‌شد، به دلیل شباهت‌ها در عملکرد. این بدافزار با جستجو در حساب‌های ایمیل IMAP با کدهای سخت، به‌عنوان یک دانلودکننده برای بارهای مرحله بعدی عمل می‌کند، به‌ویژه چک کردن یک پوشه صندوق پستی که به اشتباه املای «Recive» برای بازیابی فایل‌های اجرایی از پیوست‌های پیام وجود دارد.

در یک زنجیره حمله جایگزین، یک سند فریبنده مایکروسافت اکسل به عنوان یک بردار اولیه برای شروع یک فرآیند چند مرحله ای برای ارائه و اجرای IMAPLoader استفاده می شود، که نشان می دهد عامل تهدید از تاکتیک ها و تکنیک های متعددی برای تحقق اهداف استراتژیک خود استفاده می کند.

محققان همچنین سایت‌های فیشینگ ایجاد شده توسط Tortoiseshell را کشف کرده‌اند که برخی از آنها بخش‌های مسافرت و مهمان‌نوازی در اروپا را هدف قرار می‌دهند تا با استفاده از صفحات ورود جعلی مایکروسافت، جمع‌آوری اعتبار را انجام دهند.

این عامل تهدید همچنان یک تهدید فعال و پایدار برای بسیاری از صنایع و کشورها، از جمله بخش های دریایی، کشتیرانی و لجستیک در مدیترانه است. صنایع هسته ای، هوافضا و دفاعی در ایالات متحده و اروپا و ارائه دهندگان خدمات تحت مدیریت فناوری اطلاعات در خاورمیانه. به روز رسانی ها اغلب شامل اصلاحات اساسی برای آسیب پذیری هایی هستند که می توانند توسط مجرمان سایبری مورد سوء استفاده قرار گیرند. اعتبارسنجی به‌روزرسانی‌های خودکار روشی مناسب برای اطمینان از تقویت دستگاه شما در برابر تهدیدات نوظهور است.