IMAPLloader मैलवेयर

ईरान से जुड़ा साइबर खतरा समूह टॉर्टोइज़शेल, वाटरिंग होल हमलों में हालिया वृद्धि से जुड़ा हुआ है। इन हमलों का उद्देश्य IMAPLoader नामक मैलवेयर स्ट्रेन को फैलाना है।

IMAPLoader, जिसे .NET मैलवेयर के रूप में वर्गीकृत किया गया है, देशी विंडोज़ टूल के माध्यम से लक्ष्य सिस्टम को प्रोफाइल करने की क्षमता रखता है। इसका प्राथमिक कार्य अतिरिक्त दुर्भावनापूर्ण पेलोड के लिए डाउनलोडर के रूप में कार्य करना है। मैलवेयर ईमेल को कमांड-एंड-कंट्रोल (C2, C&C) चैनल के रूप में नियोजित करता है, जिससे यह ईमेल अटैचमेंट से प्राप्त पेलोड को निष्पादित करने में सक्षम होता है। इसके अलावा, यह नई सेवाओं की तैनाती के माध्यम से निष्पादन शुरू करता है।

कछुआ अनेक आक्रमण अभियानों से संबद्ध एक ख़तरा अभिनेता है

कम से कम 2018 से संचालित, टोर्टोइज़शेल के पास मैलवेयर वितरण की सुविधा के लिए वेबसाइटों के रणनीतिक समझौतों को नियोजित करने का एक ट्रैक रिकॉर्ड है। 2023 की शुरुआत में, शोधकर्ताओं ने समूह को इज़राइल में शिपिंग, लॉजिस्टिक्स और वित्तीय सेवा कंपनियों से जुड़ी आठ वेबसाइटों में सेंध लगाने के लिए जिम्मेदार के रूप में पहचाना।

यह धमकी देने वाला अभिनेता इस्लामिक रिवोल्यूशनरी गार्ड कॉर्प्स (आईआरजीसी) से जुड़ा है। उन्हें व्यापक साइबर सुरक्षा समुदाय द्वारा क्रिमसन सैंडस्टॉर्म (पहले क्यूरियम), इंपीरियल किटन, टीए456 और येलो लिडर्क सहित विभिन्न नामों से पहचाना जाता है।

2022 से 2023 तक फैले हमलों की हालिया लहर में, समूह ने समझौता की गई वैध वेबसाइटों में धमकी भरे जावास्क्रिप्ट को एम्बेड करने की रणनीति का उपयोग किया। इस दृष्टिकोण का उद्देश्य आगंतुकों के बारे में विस्तृत जानकारी इकट्ठा करना है, जिसमें उनका स्थान, उपकरण विवरण और उनकी यात्राओं का समय शामिल है।

इन घुसपैठों का विशिष्ट लक्ष्य भूमध्यसागरीय क्षेत्र में समुद्री, शिपिंग और रसद क्षेत्र थे। कुछ उदाहरणों में, इन हमलों के कारण बाद के पेलोड के रूप में IMAPLoader की तैनाती हुई, खासकर जब पीड़ित को उच्च-मूल्य का लक्ष्य माना गया था।

IMAPLoader मैलवेयर मल्टी-स्टेज अटैक चेन में एक आवश्यक घटक है

कार्यक्षमता में समानता के कारण, IMAPLoader को पहले 2021 के अंत और 2022 की शुरुआत में उपयोग किए जाने वाले Python-आधारित IMAP इम्प्लांट Tortoiseshell का प्रतिस्थापन कहा जाता है। मैलवेयर हार्ड-कोडित IMAP ईमेल खातों को क्वेरी करके अगले चरण के पेलोड के लिए एक डाउनलोडर के रूप में कार्य करता है, विशेष रूप से संदेश अनुलग्नकों से निष्पादन योग्य फ़ाइलों को पुनर्प्राप्त करने के लिए 'रिसिव' के रूप में गलत वर्तनी वाले मेलबॉक्स फ़ोल्डर की जांच करता है।

एक वैकल्पिक आक्रमण श्रृंखला में, एक Microsoft Excel डिकॉय दस्तावेज़ का उपयोग IMAPLoader को वितरित करने और निष्पादित करने के लिए एक मल्टी-स्टेज प्रक्रिया को किक-स्टार्ट करने के लिए प्रारंभिक वेक्टर के रूप में किया जाता है, जो दर्शाता है कि खतरा अभिनेता अपने रणनीतिक लक्ष्यों को प्राप्त करने के लिए कई रणनीति और तकनीकों का उपयोग कर रहा है।

शोधकर्ताओं ने टोर्टोइज़शेल द्वारा बनाई गई फ़िशिंग साइटों की भी खोज की है, जिनमें से कुछ का उद्देश्य यूरोप के भीतर यात्रा और आतिथ्य क्षेत्रों में नकली Microsoft साइन-इन पृष्ठों का उपयोग करके क्रेडेंशियल हार्वेस्टिंग करना है।

यह खतरा अभिनेता भूमध्य सागर के भीतर समुद्री, शिपिंग और रसद क्षेत्रों सहित कई उद्योगों और देशों के लिए एक सक्रिय और लगातार खतरा बना हुआ है; अमेरिका और यूरोप में परमाणु, एयरोस्पेस और रक्षा उद्योगों और मध्य पूर्व में आईटी-प्रबंधित सेवा प्रदाताओं के अपडेट में अक्सर उन कमजोरियों के लिए महत्वपूर्ण सुधार शामिल होते हैं जिनका साइबर अपराधियों द्वारा फायदा उठाया जा सकता है। स्वचालित अपडेट को मान्य करना यह सुनिश्चित करने का एक सुविधाजनक तरीका है कि आपका डिवाइस उभरते खतरों के खिलाफ मजबूत है।