תוכנה זדונית IMAPLoader

קבוצת איומי הסייבר Tortoiseshell, הקשורה לאיראן, נקשרה לזינוק לאחרונה בהתקפות בורות המים. התקפות אלו מטרתן לשחרר זן תוכנות זדוניות המכונה IMAPLoader.

ל-IMAPLoader, המסווג כתוכנה זדונית NET. יש את היכולת ליצור פרופיל של מערכות יעד באמצעות כלי Windows מקוריים. תפקידו העיקרי הוא לשמש כתוכנת הורדה עבור מטענים זדוניים נוספים. התוכנה הזדונית משתמשת בדוא"ל כערוץ Command-and-Control (C2, C&C), המאפשר לה לבצע עומסים שאוחזרו מקבצים מצורפים לדוא"ל. יתר על כן, הוא יוזם ביצוע באמצעות פריסת שירותים חדשים.

צב הוא שחקן איום המזוהה עם מסעות תקיפה רבים

פועלת מאז 2018 לפחות, ל-Tortoiseshell יש רקורד של שימוש בפשרות אסטרטגיות של אתרי אינטרנט כדי להקל על הפצת תוכנות זדוניות. בתחילת 2023, חוקרים זיהו את הקבוצה כאחראית לפריצת שמונה אתרים המקושרים לחברות שילוח, לוגיסטיקה ושירותים פיננסיים בישראל.

שחקן איום זה קשור למשמרות המהפכה האסלאמית (IRGC). הוא מוכר על ידי קהילת אבטחת הסייבר הרחבה יותר בשמות שונים, כולל Crimson Sandstorm (לשעבר Curium), Imperial Kitten, TA456 ו-Yellow Liderc.

בגל ההתקפות האחרון שנפרש בין 2022 ל-2023, הקבוצה השתמשה בטקטיקה של הטמעת JavaScript מאיים באתרים לגיטימיים שנפגעו. גישה זו נועדה לאסוף מידע מפורט על מבקרים, הכולל את מיקומם, פרטי המכשיר ותזמון הביקורים שלהם.

היעדים הספציפיים של חדירות אלה היו המגזר הימי, הספנות והלוגיסטיקה באזור הים התיכון. במקרים מסוימים, התקפות אלו הובילו לפריסה של IMAPLoader כמטען עוקב, במיוחד כאשר הקורבן נחשב למטרה בעלת ערך גבוה.

תוכנת זדונית IMAPLoader היא רכיב חיוני בשרשרת התקפה רב-שלבית

אומרים ש-IMAPLoader הוא תחליף לשתל IMAP מבוסס Python Tortoiseshell ששימש בעבר בסוף 2021 ותחילת 2022, בשל קווי הדמיון בפונקציונליות. התוכנה הזדונית פועלת כתוכנת הורדה עבור מטענים בשלב הבא על ידי שאילתה של חשבונות דוא"ל IMAP עם קוד קשיח, בדיקה ספציפית של תיקיית תיבת דואר שכתובה בשגיאה כ'קבל' כדי לאחזר את קובצי ההפעלה מהקבצים המצורפים להודעה.

בשרשרת תקיפה חלופית, מסמך פיתוי של Microsoft Excel משמש כווקטור ראשוני להפעלת תהליך רב-שלבי לאספקה וביצוע של IMAPLoader, מה שמצביע על כך ששחקן האיום משתמש במספר טקטיקות וטכניקות כדי לממש את מטרותיו האסטרטגיות.

חוקרים גילו גם אתרי דיוג שנוצרו על ידי Tortoiseshell, שחלקם מיועדים למגזרי הנסיעות והאירוח באירופה, כדי לבצע איסוף אישורים באמצעות דפי כניסה מזויפים של מיקרוסופט.

שחקן איום זה נותר איום פעיל ומתמשך על תעשיות ומדינות רבות, כולל מגזרי הים, הספנות והלוגיסטיקה בים התיכון; תעשיות גרעין, תעופה וחלל ותעשיות ביטחוניות בארה"ב ובאירופה וספקי שירותים מנוהלים ב-IT במזרח התיכון. עדכונים כוללים לעתים קרובות תיקונים חיוניים לנקודות תורפה שעלולות להיות מנוצלות על ידי פושעי סייבר. אימות עדכונים אוטומטיים הוא דרך נוחה להבטיח שהמכשיר שלך מבוצר מפני איומים מתעוררים.