بدافزار IMAPLoader
گروه تهدید سایبری Tortoiseshell که به ایران متصل است با افزایش حملات اخیر در ارتباط است. هدف از این حملات رها کردن یک نوع بدافزار به نام IMAPLoader است.
IMAPLoader که به عنوان یک بدافزار دات نت طبقه بندی می شود، دارای قابلیت نمایه سازی سیستم های هدف از طریق ابزارهای بومی ویندوز است. عملکرد اصلی آن این است که به عنوان دانلود کننده برای بارهای مخرب اضافی خدمت کند. این بدافزار از ایمیل به عنوان یک کانال Command-and-Control (C2, C&C) استفاده میکند و آن را قادر میسازد تا بارهای بازیابی شده از پیوستهای ایمیل را اجرا کند. علاوه بر این، اجرا را از طریق استقرار خدمات جدید آغاز می کند.
Tortoiseshell یک بازیگر تهدید کننده است که با کمپین های متعدد حمله مرتبط است
Tortoiseshell که حداقل از سال 2018 فعالیت می کند، سابقه ای در استفاده از مصالحه استراتژیک از وب سایت ها برای تسهیل توزیع بدافزار دارد. در اوایل سال 2023، محققان این گروه را مسئول نقض هشت وب سایت مرتبط با شرکت های حمل و نقل، تدارکات و خدمات مالی در اسرائیل معرفی کردند.
این بازیگر تهدید با سپاه پاسداران انقلاب اسلامی ارتباط دارد. او توسط جامعه امنیت سایبری گسترده تر با نام های مختلفی از جمله Crimson Sandstorm (قبلاً Curium)، امپریال کیتن، TA456 و Yellow Liderc شناخته می شود.
در موج اخیر حملات از سال 2022 تا 2023، این گروه از تاکتیک جاسازی جاوا اسکریپت تهدید آمیز در وب سایت های قانونی در معرض خطر استفاده کرد. این رویکرد با هدف جمعآوری اطلاعات دقیق در مورد بازدیدکنندگان، شامل موقعیت مکانی، جزئیات دستگاه و زمان بازدید آنها انجام شد.
اهداف خاص این نفوذ، بخش های دریایی، کشتیرانی و لجستیک در منطقه مدیترانه بود. در مواردی خاص، این حملات منجر به استقرار IMAPLoader به عنوان یک محموله بعدی شد، به خصوص زمانی که قربانی یک هدف با ارزش در نظر گرفته می شد.
بدافزار IMAPLoader یک جزء ضروری در زنجیره حمله چند مرحله ای است.
گفته میشود IMAPLoader جایگزینی برای Tortoiseshell ایمپلنت IMAP مبتنی بر پایتون است که قبلاً در اواخر سال 2021 و اوایل سال 2022 استفاده میشد، به دلیل شباهتها در عملکرد. این بدافزار با جستجو در حسابهای ایمیل IMAP با کدهای سخت، بهعنوان یک دانلودکننده برای بارهای مرحله بعدی عمل میکند، بهویژه چک کردن یک پوشه صندوق پستی که به اشتباه املای «Recive» برای بازیابی فایلهای اجرایی از پیوستهای پیام وجود دارد.
در یک زنجیره حمله جایگزین، یک سند فریبنده مایکروسافت اکسل به عنوان یک بردار اولیه برای شروع یک فرآیند چند مرحله ای برای ارائه و اجرای IMAPLoader استفاده می شود، که نشان می دهد عامل تهدید از تاکتیک ها و تکنیک های متعددی برای تحقق اهداف استراتژیک خود استفاده می کند.
محققان همچنین سایتهای فیشینگ ایجاد شده توسط Tortoiseshell را کشف کردهاند که برخی از آنها بخشهای مسافرت و مهماننوازی در اروپا را هدف قرار میدهند تا با استفاده از صفحات ورود جعلی مایکروسافت، جمعآوری اعتبار را انجام دهند.
این عامل تهدید همچنان یک تهدید فعال و پایدار برای بسیاری از صنایع و کشورها، از جمله بخش های دریایی، کشتیرانی و لجستیک در مدیترانه است. صنایع هسته ای، هوافضا و دفاعی در ایالات متحده و اروپا و ارائه دهندگان خدمات تحت مدیریت فناوری اطلاعات در خاورمیانه. به روز رسانی ها اغلب شامل اصلاحات اساسی برای آسیب پذیری هایی هستند که می توانند توسط مجرمان سایبری مورد سوء استفاده قرار گیرند. اعتبارسنجی بهروزرسانیهای خودکار روشی مناسب برای اطمینان از تقویت دستگاه شما در برابر تهدیدات نوظهور است.