IMAPLoader kenkėjiška programa

Kibernetinių grėsmių grupė „Tortoiseshell“, susijusi su Iranu, buvo siejama su pastaruoju metu padaugėjusiu atakų srautu. Šiomis atakomis siekiama išlaisvinti kenkėjiškų programų, žinomų kaip IMAPLoader, atmainą.

IMAPLoader, klasifikuojama kaip .NET kenkėjiška programa, turi galimybę profiliuoti tikslines sistemas naudodama vietinius „Windows“ įrankius. Pagrindinė jo funkcija yra tarnauti kaip papildomų kenksmingų naudingųjų apkrovų atsisiuntimo priemonė. Kenkėjiška programinė įranga naudoja el. paštą kaip komandų ir valdymo (C2, C&C) kanalą, leidžiantį vykdyti naudingus krovinius, gautus iš el. laiškų priedų. Be to, jis inicijuoja vykdymą diegdamas naujas paslaugas.

Vėžlio kiautas yra grėsmių aktorius, susijęs su daugybe puolimo kampanijų

Veikianti mažiausiai nuo 2018 m., „Tortoiseshell“ sėkmingai naudoja strateginius svetainių kompromisus, kad palengvintų kenkėjiškų programų platinimą. 2023 m. pradžioje mokslininkai nustatė, kad grupė yra atsakinga už aštuonių svetainių, susijusių su laivybos, logistikos ir finansinių paslaugų įmonėmis Izraelyje, pažeidimus.

Šis grėsmės veikėjas siejamas su Islamo revoliucijos gvardijos korpusu (IRGC). Platesnė kibernetinio saugumo bendruomenė jį atpažįsta įvairiais pavadinimais, įskaitant Crimson Sandstorm (anksčiau Curium), Imperial Kitten, TA456 ir Yellow Liderc.

Per pastarąją atakų bangą, trukusią nuo 2022 iki 2023 m., grupė naudojo taktiką įterpti grėsmingą JavaScript į pažeistas teisėtas svetaines. Šiuo metodu buvo siekiama surinkti išsamią informaciją apie lankytojus, įskaitant jų vietą, įrenginio informaciją ir apsilankymų laiką.

Konkretūs šių įsibrovimų taikiniai buvo Viduržemio jūros regiono jūrų, laivybos ir logistikos sektoriai. Tam tikrais atvejais dėl šių atakų IMAPLoader buvo naudojamas kaip paskesnis naudingasis krovinys, ypač kai auka buvo laikoma didelės vertės taikiniu.

IMAPLoader kenkėjiška programa yra esminis daugiapakopės atakų grandinės komponentas

Teigiama, kad IMAPLoader pakeis Python pagrindu sukurtą IMAP implantą Tortoiseshell, anksčiau naudotą 2021 m. pabaigoje ir 2022 m. pradžioje, dėl funkcionalumo panašumų. Kenkėjiška programa veikia kaip naujos pakopos naudingųjų apkrovų atsisiuntimo programa, užklausdama sunkiai užkoduotų IMAP el. pašto paskyrų, konkrečiai patikrindama pašto dėžutės aplanką, klaidingai parašytą kaip „Gauti“, kad gautų vykdomąsias programas iš pranešimų priedų.

Alternatyvioje atakos grandinėje „Microsoft Excel“ apgaulės dokumentas naudojamas kaip pradinis vektorius, skirtas pradėti kelių etapų IMAPLoader pristatymo ir vykdymo procesą, nurodant, kad grėsmės veikėjas savo strateginiams tikslams įgyvendinti naudoja daugybę taktikų ir metodų.

Tyrėjai taip pat aptiko sukčiavimo svetaines, sukurtas Tortoiseshell, kai kurios iš jų yra skirtos kelionių ir svetingumo sektoriams Europoje, kad būtų galima surinkti kredencialus naudojant netikrus „Microsoft“ prisijungimo puslapius.

Šis grėsmės veikėjas tebėra aktyvi ir nuolatinė grėsmė daugeliui pramonės šakų ir šalių, įskaitant jūrų, laivybos ir logistikos sektorius Viduržemio jūroje; branduolinės, aviacijos ir gynybos pramonės JAV ir Europoje bei IT valdomų paslaugų teikėjų Artimuosiuose Rytuose atnaujinimai dažnai apima esminius pažeidžiamumų, kuriais gali pasinaudoti kibernetiniai nusikaltėliai, pataisymus. Automatinių naujinimų patvirtinimas yra patogus būdas užtikrinti, kad jūsų įrenginys būtų apsaugotas nuo kylančių grėsmių.