IMAPLoader rosszindulatú program

Az Iránhoz kötődő Tortoiseshell kiberfenyegető csoportot a közelmúltban megszaporodó támadásokkal hozták összefüggésbe. Ezeknek a támadásoknak az a célja, hogy felszabadítsák az IMAPLoader néven ismert rosszindulatú programokat.

Az IMAPLoader, amely .NET rosszindulatú programnak minősül, képes profilozni a célrendszereket natív Windows-eszközökön keresztül. Elsődleges funkciója, hogy letöltőként szolgáljon további rosszindulatú rakományokhoz. A rosszindulatú program az e-mailt Command-and-Control (C2, C&C) csatornaként használja, lehetővé téve az e-mail mellékletekből lekért rakományok végrehajtását. Ezenkívül új szolgáltatások bevezetésével elindítja a végrehajtást.

Teknősbéka egy fenyegető színész, aki számos támadási kampányhoz kapcsolódik

A legalább 2018 óta működő Tortoiseshell tapasztalattal rendelkezik a webhelyek stratégiai kompromisszumainak alkalmazásában a rosszindulatú programok terjesztésének elősegítése érdekében. 2023 elején a kutatók megállapították, hogy a csoport felelős nyolc, az izraeli szállítmányozási, logisztikai és pénzügyi szolgáltató cégekhez kapcsolódó webhely feltöréséért.

Ez a fenyegetőző szereplő az Iszlám Forradalmi Gárdához (IRGC) kapcsolódik. A szélesebb kiberbiztonsági közösség különféle neveken ismeri, többek között Crimson Sandstorm (korábban Curium), Imperial Kitten, TA456 és Yellow Liderc.

A közelmúltban, 2022-től 2023-ig tartó támadási hullámban a csoport azt a taktikát alkalmazta, hogy fenyegető JavaScriptet ágyaztak be a feltört legitim webhelyekbe. Ennek a megközelítésnek az volt a célja, hogy részletes információkat gyűjtsön a látogatókról, beleértve a tartózkodási helyüket, az eszköz adatait és a látogatásuk időpontját.

E behatolások konkrét célpontjai a földközi-tengeri térség tengeri, hajózási és logisztikai ágazatai voltak. Bizonyos esetekben ezek a támadások az IMAPLoader későbbi rakományként való telepítéséhez vezettek, különösen akkor, ha az áldozatot nagy értékű célpontnak tekintették.

Az IMAPLoader malware egy többlépcsős támadási lánc alapvető összetevője

Az IMAPLoader állítólag a korábban 2021 végén és 2022 elején használt Python-alapú IMAP Tortoiseshell implantátum helyettesítője, a funkcionalitás hasonlóságai miatt. A rosszindulatú program letöltőként működik a következő fázisú rakományok számára azáltal, hogy lekérdezi a kemény kódolt IMAP e-mail fiókokat, konkrétan egy postaláda-mappát ellenőriz, amely hibásan "Fogadás"-ként van írva, hogy lekérje a végrehajtható fájlokat az üzenet mellékleteiből.

Egy alternatív támadási láncban egy Microsoft Excel csalidokumentumot használnak kezdeti vektorként egy többlépcsős folyamat beindítására az IMAPLoader kézbesítésére és végrehajtására, jelezve, hogy a fenyegetés szereplője számos taktikát és technikát alkalmaz stratégiai céljainak megvalósítása érdekében.

A kutatók a Tortoiseshell által létrehozott adathalász oldalakat is felfedeztek, amelyek némelyike az európai utazási és vendéglátói szektort célozza meg, hogy hitelesítő adatokat gyűjtsenek be hamis Microsoft bejelentkezési oldalak segítségével.

Ez a fenyegetett szereplő továbbra is aktív és tartós fenyegetést jelent számos iparág és ország számára, beleértve a tengeri, hajózási és logisztikai ágazatot a Földközi-tengeren belül; az Egyesült Államokban és Európában a nukleáris, űrkutatási és védelmi iparban, valamint a Közel-Keleten IT-menedzselt szolgáltatóknál. A frissítések gyakran tartalmaznak kulcsfontosságú javításokat a kiberbűnözők által kihasználható sebezhetőségekhez. Az automatikus frissítések ellenőrzése kényelmes módja annak, hogy megbizonyosodjon arról, hogy eszköze védve van a felmerülő fenyegetésekkel szemben.