Zlonamjerni softver IMAPLoader

Skupina za kibernetičku prijetnju Tortoiseshell, povezana s Iranom, povezana je s nedavnim porastom napada na vodene kanale. Ovi napadi imaju za cilj oslobađanje zlonamjernog softvera poznatog kao IMAPLoader.

IMAPLoader, klasificiran kao .NET malware, posjeduje sposobnost profiliranja ciljnih sustava putem izvornih Windows alata. Njegova primarna funkcija je da služi kao preuzimač za dodatne zlonamjerne sadržaje. Zlonamjerni softver koristi e-poštu kao Command-and-Control (C2, C&C) kanal, omogućujući mu izvršavanje sadržaja dohvaćenih iz privitaka e-pošte. Nadalje, pokreće izvršenje kroz implementaciju novih usluga.

Tortoiseshell je akter prijetnje povezan s brojnim kampanjama napada

Djelujući barem od 2018., Tortoiseshell ima iskustvo u korištenju strateških kompromisa web stranica kako bi se olakšala distribucija zlonamjernog softvera. Početkom 2023. istraživači su identificirali skupinu kao odgovornu za provale u osam web stranica povezanih s kompanijama za otpremu, logistiku i financijske usluge u Izraelu.

Ovaj akter prijetnje povezan je s Korpusom čuvara islamske revolucije (IRGC). Šira cybersigurnosna zajednica ga prepoznaje pod raznim imenima, uključujući Crimson Sandstorm (ranije Curium), Imperial Kitten, TA456 i Yellow Liderc.

U nedavnom valu napada koji su se protezali od 2022. do 2023., grupa je koristila taktiku ugrađivanja prijetećeg JavaScripta u kompromitirana legitimna web-mjesta. Ovaj je pristup imao za cilj prikupiti detaljne informacije o posjetiteljima, uključujući njihovu lokaciju, pojedinosti o uređaju i vrijeme njihovih posjeta.

Konkretne mete ovih upada bili su sektor pomorstva, brodarstva i logistike u mediteranskoj regiji. U određenim su slučajevima ti napadi doveli do postavljanja IMAPLoadera kao naknadnog korisnog opterećenja, osobito kada se žrtva smatrala metom visoke vrijednosti.

Zlonamjerni softver IMAPLoader bitna je komponenta u lancu napada s više stupnjeva

Za IMAPLoader se kaže da je zamjena za IMAP implantat Tortoiseshell temeljen na Pythonu koji se prethodno koristio krajem 2021. i početkom 2022., zbog sličnosti u funkcionalnosti. Zlonamjerni softver djeluje kao preuzimač za sadržaj sljedeće faze postavljajući upite za tvrdo kodirane IMAP račune e-pošte, posebno provjeravajući mapu poštanskog sandučića pogrešno napisanu kao 'Recive' kako bi dohvatio izvršne datoteke iz privitaka poruke.

U alternativnom lancu napada, Microsoft Excel dokument mamac koristi se kao početni vektor za pokretanje višefaznog procesa za isporuku i izvršenje IMAPLoadera, što ukazuje da akter prijetnje koristi brojne taktike i tehnike za realizaciju svojih strateških ciljeva.

Istraživači su također otkrili stranice za krađu identiteta koje je stvorio Tortoiseshell, od kojih su neke usmjerene na sektore putovanja i ugostiteljstva u Europi, za prikupljanje vjerodajnica pomoću lažnih Microsoftovih stranica za prijavu.

Ovaj akter prijetnje ostaje aktivna i stalna prijetnja mnogim industrijama i zemljama, uključujući sektor pomorstva, brodarstva i logistike u Sredozemlju; nuklearna, zrakoplovna i obrambena industrija u SAD-u i Europi te pružatelji usluga kojima upravlja IT na Bliskom istoku. ažuriranja često uključuju ključne popravke za ranjivosti koje bi kibernetički kriminalci mogli iskoristiti. Provjera valjanosti automatskih ažuriranja prikladan je način da osigurate da je vaš uređaj zaštićen od novih prijetnji.