IMAPLoader 악성코드

이란과 연계된 사이버 위협 그룹 Tortoiseshell이 최근 급증하는 워터링 홀 공격과 관련이 있는 것으로 나타났습니다. 이러한 공격은 IMAPLoader로 알려진 악성 코드 변종을 방출하는 것을 목표로 합니다.

.NET 악성 코드로 분류된 IMAPLoader는 기본 Windows 도구를 통해 대상 시스템을 프로파일링하는 기능을 보유하고 있습니다. 주요 기능은 추가 악성 페이로드에 대한 다운로더 역할을 하는 것입니다. 이 악성코드는 이메일을 명령 및 제어(C2, C&C) 채널로 사용하여 이메일 첨부 파일에서 검색된 페이로드를 실행할 수 있습니다. 또한 새로운 서비스 배포를 통해 실행을 시작합니다.

Tortoiseshell은 수많은 공격 캠페인과 관련된 위협 행위자입니다.

Tortoiseshell은 2018년부터 운영되어 악성 코드 배포를 촉진하기 위해 웹사이트를 전략적으로 침해한 기록을 가지고 있습니다. 2023년 초, 연구원들은 이 그룹이 이스라엘의 운송, 물류, 금융 서비스 회사와 연결된 8개 웹사이트를 침해한 것으로 확인했습니다.

이 위협 행위자는 이슬람혁명수비대(IRGC)와 연관되어 있습니다. 그는 Crimson Sandstorm(이전의 Curium), Imperial Kitten, TA456 및 Yellow Liderc를 포함한 다양한 이름으로 광범위한 사이버 보안 커뮤니티에서 인정받고 있습니다.

2022년부터 2023년까지 발생한 최근 공격에서 이 그룹은 위협적인 JavaScript를 손상된 합법적인 웹사이트에 삽입하는 전술을 활용했습니다. 이 접근 방식은 방문자의 위치, 장치 세부 정보 및 방문 시간을 포함하여 방문자에 대한 자세한 정보를 수집하는 것을 목표로 했습니다.

이러한 침입의 구체적인 목표는 지중해 지역의 해양, 해운, 물류 부문이었습니다. 어떤 경우에는 이러한 공격으로 인해 IMAPLoader가 후속 페이로드로 배포되는 경우가 있었으며, 특히 피해자가 중요한 대상으로 간주된 경우에는 더욱 그렇습니다.

IMAPLoader 악성 코드는 다단계 공격 체인의 필수 구성 요소입니다.

IMAPLoader는 기능의 유사성으로 인해 이전에 2021년 말과 2022년 초에 사용된 Python 기반 IMAP 이식 Tortoiseshell을 대체한다고 합니다. 이 악성코드는 하드 코딩된 IMAP 이메일 계정을 쿼리하고, 특히 'Recive'로 철자가 틀린 사서함 폴더를 검사하여 메시지 첨부 파일에서 실행 파일을 검색함으로써 다음 단계 페이로드를 위한 다운로더 역할을 합니다.

대체 공격 체인에서는 Microsoft Excel 미끼 문서가 IMAPLoader를 전달하고 실행하기 위한 다단계 프로세스를 시작하기 위한 초기 벡터로 사용됩니다. 이는 위협 행위자가 전략적 목표를 실현하기 위해 수많은 전술과 기술을 사용하고 있음을 나타냅니다.

연구원들은 또한 Tortoiseshell이 만든 피싱 사이트를 발견했습니다. 그 중 일부는 가짜 Microsoft 로그인 페이지를 사용하여 자격 증명 수집을 수행하기 위해 유럽 내 여행 및 숙박 부문을 대상으로 합니다.

이 위협 행위자는 지중해 내 해양, 해운, 물류 부문을 포함한 많은 산업과 국가에 적극적이고 지속적인 위협으로 남아 있습니다. 미국과 유럽의 핵, 항공우주, 방위 산업과 중동의 IT 관리 서비스 제공업체의 업데이트에는 사이버 범죄자가 악용할 수 있는 취약점에 대한 중요한 수정 사항이 포함되는 경우가 많습니다. 자동 업데이트 유효성 검사는 장치가 새로운 위협으로부터 강화되었는지 확인하는 편리한 방법입니다.