IMAPLoader-haittaohjelma

Iraniin liittyvä kyberuhkaryhmä Tortoiseshell on yhdistetty viime aikoina lisääntyneeseen hyökkäyksiin. Näillä hyökkäyksillä pyritään vapauttamaan IMAPLoader-niminen haittaohjelmakanta.

IMAPLoader, joka on luokiteltu .NET-haittaohjelmaksi, pystyy profiloimaan kohdejärjestelmiä Windowsin alkuperäisten työkalujen avulla. Sen ensisijainen tehtävä on toimia haitallisten lisähyötykuormien lataajana. Haittaohjelma käyttää sähköpostia Command-and-Control (C2, C&C) -kanavana, jonka avulla se voi suorittaa sähköpostin liitteistä haettuja hyötykuormia. Lisäksi se käynnistää toteutuksen ottamalla käyttöön uusia palveluita.

Tortoiseshell on uhkanäyttelijä, joka liittyy lukuisiin hyökkäyskampanjoihin

Ainakin vuodesta 2018 lähtien toimineella Tortoiseshellillä on kokemusta verkkosivustojen strategisista kompromisseista haittaohjelmien levittämisen helpottamiseksi. Vuoden 2023 alussa tutkijat tunnistivat ryhmän olevan vastuussa kahdeksasta israelilaiseen merenkulku-, logistiikka- ja rahoituspalveluyhtiöihin linkitetyn verkkosivuston rikkomisesta.

Tämä uhkatekijä liittyy Islamic Revolutionary Guard Corpsiin (IRGC). Laajempi kyberturvallisuusyhteisö tunnistaa hänet useilla nimillä, kuten Crimson Sandstorm (aiemmin Curium), Imperial Kitten, TA456 ja Yellow Liderc.

Hiljattain vuosina 2022–2023 kestäneessä hyökkäysaaltossa ryhmä käytti taktiikkaa upottaa uhkaavaa JavaScriptiä vaarantuneille laillisille verkkosivustoille. Tällä lähestymistavalla pyrittiin keräämään yksityiskohtaisia tietoja vierailijoista, jotka käsittivät heidän sijainninsa, laitetiedot ja vierailujen ajankohdan.

Näiden tunkeutumisten erityiskohteet olivat merenkulku-, merenkulku- ja logistiikkasektorit Välimeren alueella. Tietyissä tapauksissa nämä hyökkäykset johtivat IMAPLoaderin käyttöönottoon myöhempänä hyötykuormana, varsinkin kun uhria pidettiin arvokkaana kohteena.

IMAPLoader-haittaohjelma on olennainen komponentti monivaiheisessa hyökkäysketjussa

IMAPLoaderin sanotaan korvaavan Python-pohjaisen IMAP-implanttien Tortoiseshell, jota käytettiin aiemmin loppuvuodesta 2021 ja alkuvuodesta 2022 toiminnallisuuden yhtäläisyyksien vuoksi. Haittaohjelma toimii latausohjelmana seuraavan vaiheen hyötykuormille tekemällä kyselyjä kovakoodatuille IMAP-sähköpostitileille, erityisesti tarkistamalla postilaatikon kansion, joka on kirjoitettu väärin 'Vastaanota', ja hakee suoritettavat tiedostot viestien liitteistä.

Vaihtoehtoisessa hyökkäysketjussa Microsoft Excelin houkutusasiakirjaa käytetään alkuvektorina monivaiheisen prosessin käynnistämiseksi IMAPLoaderin toimittamiseksi ja suorittamiseksi, mikä osoittaa, että uhkatoimija käyttää lukuisia taktiikoita ja tekniikoita strategisten tavoitteidensa toteuttamiseksi.

Tutkijat ovat myös löytäneet Tortoiseshellin luomia phishing-sivustoja, joista osa on suunnattu matkailu- ja ravintola-alalle Euroopassa ja jotka keräävät tunnistetietoja väärennetyillä Microsoftin kirjautumissivuilla.

Tämä uhkatekijä on edelleen aktiivinen ja jatkuva uhka monille teollisuudenaloille ja maille, mukaan lukien merenkulku, merenkulku ja logistiikka-ala Välimerellä. ydin-, ilmailu- ja puolustusteollisuus Yhdysvalloissa ja Euroopassa sekä IT-hallitut palveluntarjoajat Lähi-idässä. Päivitykset sisältävät usein tärkeitä korjauksia haavoittuvuuksiin, joita kyberrikolliset voivat hyödyntää. Automaattisten päivitysten vahvistaminen on kätevä tapa varmistaa, että laitteesi on suojattu uusilta uhilta.