IMAPLoader ļaunprātīga programmatūra

Kiberdraudu grupa Tortoiseshell, kas ir saistīta ar Irānu, ir saistīta ar neseno uzbrukumu skaita pieaugumu. Šo uzbrukumu mērķis ir atbrīvot ļaunprātīgas programmatūras celmu, kas pazīstams kā IMAPLoader.

IMAPLoader, kas klasificēts kā .NET ļaunprātīga programmatūra, spēj profilēt mērķa sistēmas, izmantojot vietējos Windows rīkus. Tās galvenā funkcija ir kalpot kā lejupielādētājs papildu ļaunprātīgai slodzei. Ļaunprātīgā programmatūra izmanto e-pastu kā Command-and-Control (C2, C&C) kanālu, ļaujot tai izpildīt no e-pasta pielikumiem izgūtas slodzes. Turklāt tas sāk izpildi, izvietojot jaunus pakalpojumus.

Bruņurupuču apvalks ir draudu aktieris, kas saistīts ar daudzām uzbrukuma kampaņām

Tortoiseshell, kas darbojas vismaz kopš 2018. gada, ir izmantojis stratēģiskus vietņu kompromisus, lai veicinātu ļaunprātīgas programmatūras izplatīšanu. 2023. gada sākumā pētnieki identificēja grupu kā atbildīgu par astoņu vietņu pārkāpšanu, kas saistītas ar kuģniecības, loģistikas un finanšu pakalpojumu uzņēmumiem Izraēlā.

Šis draudu aktieris ir saistīts ar Islāma revolucionāro gvardu korpusu (IRGC). Plašāka kiberdrošības kopiena viņu atpazīst ar dažādiem nosaukumiem, tostarp Crimson Sandstorm (iepriekš Curium), Imperial Kitten, TA456 un Yellow Liderc.

Nesenajā uzbrukumu vilnī, kas aptvēra no 2022. gada līdz 2023. gadam, grupa izmantoja taktiku, iegulot draudīgu JavaScript apdraudētās likumīgās vietnēs. Šīs pieejas mērķis bija iegūt detalizētu informāciju par apmeklētājiem, ietverot viņu atrašanās vietu, informāciju par ierīci un viņu apmeklējumu laiku.

Šo ielaušanās īpašie mērķi bija jūrniecības, kuģniecības un loģistikas nozares Vidusjūras reģionā. Atsevišķos gadījumos šie uzbrukumi izraisīja IMAPLoader izvietošanu kā nākamo lietderīgo slodzi, it īpaši, ja upuris tika uzskatīts par vērtīgu mērķi.

IMAPLoader ļaunprogrammatūra ir būtisks komponents daudzpakāpju uzbrukuma ķēdē

Tiek uzskatīts, ka IMAPLoader aizstāj Python balstītu IMAP implantu Tortoiseshell, kas iepriekš tika izmantots 2021. gada beigās un 2022. gada sākumā, jo funkcionalitāte ir līdzīga. Ļaunprātīga programmatūra darbojas kā nākamās pakāpes lietderīgās slodzes lejupielādētājs, vaicājot cieti kodētus IMAP e-pasta kontus, īpaši pārbaudot pastkastes mapi, kas nepareizi uzrakstīta kā “Saņemt”, lai izgūtu izpildāmos failus no ziņojumu pielikumiem.

Alternatīvā uzbrukuma ķēdē Microsoft Excel mānekļu dokuments tiek izmantots kā sākotnējais vektors, lai sāktu daudzpakāpju procesu, lai piegādātu un izpildītu IMAPLoader, norādot, ka apdraudējuma dalībnieks izmanto daudzas taktikas un metodes, lai īstenotu savus stratēģiskos mērķus.

Pētnieki ir arī atklājuši Tortoiseshell izveidotās pikšķerēšanas vietnes, no kurām dažas ir paredzētas ceļojumu un viesmīlības nozarēm Eiropā, lai veiktu akreditācijas datu iegūšanu, izmantojot viltotas Microsoft pierakstīšanās lapas.

Šis apdraudējums joprojām ir aktīvs un pastāvīgs drauds daudzām nozarēm un valstīm, tostarp jūrniecības, kuģniecības un loģistikas nozarēm Vidusjūras reģionā; kodolenerģijas, aviācijas un aizsardzības nozares ASV un Eiropā un IT pārvaldītie pakalpojumu sniedzēji Tuvajos Austrumos.are atjauninājumi bieži ietver svarīgus labojumus ievainojamībai, ko varētu izmantot kibernoziedznieki. Automātisko atjauninājumu apstiprināšana ir ērts veids, kā nodrošināt, ka jūsu ierīce ir aizsargāta pret jauniem draudiem.