Perisian Hasad IMAPLoader

Kumpulan ancaman siber Tortoiseshell, yang disambungkan ke Iran, telah dikaitkan dengan lonjakan baru-baru ini dalam serangan lubang air. Serangan ini bertujuan untuk melepaskan ketegangan perisian hasad yang dikenali sebagai IMAPLoader.

IMAPLoader, diklasifikasikan sebagai perisian hasad .NET, mempunyai keupayaan untuk memprofil sistem sasaran melalui alat Windows asli. Fungsi utamanya adalah untuk berfungsi sebagai pemuat turun untuk muatan berniat jahat tambahan. Malware menggunakan e-mel sebagai saluran Perintah-dan-Kawalan (C2, C&C), membolehkannya melaksanakan muatan yang diambil daripada lampiran e-mel. Tambahan pula, ia memulakan pelaksanaan melalui penggunaan perkhidmatan baharu.

Tortoiseshell ialah Pelakon Ancaman Berkaitan dengan Banyak Kempen Serangan

Beroperasi sejak sekurang-kurangnya 2018, Tortoiseshell mempunyai rekod prestasi menggunakan kompromi strategik tapak web untuk memudahkan pengedaran perisian hasad. Pada awal 2023, penyelidik mengenal pasti kumpulan itu bertanggungjawab melanggar lapan tapak web yang dikaitkan dengan syarikat perkapalan, logistik dan perkhidmatan kewangan di Israel.

Aktor ancaman ini dikaitkan dengan Kor Pengawal Revolusi Islam (IRGC). Dia diiktiraf oleh komuniti keselamatan siber yang lebih luas dengan pelbagai nama, termasuk Crimson Sandstorm (sebelum ini Curium), Imperial Kitten, TA456 dan Yellow Liderc.

Dalam gelombang serangan baru-baru ini yang menjangkau dari 2022 hingga 2023, kumpulan itu menggunakan taktik untuk membenamkan JavaScript yang mengancam ke dalam tapak web sah yang terjejas. Pendekatan ini bertujuan untuk mengumpulkan maklumat terperinci tentang pelawat, merangkumi lokasi mereka, butiran peranti dan masa lawatan mereka.

Sasaran khusus pencerobohan ini ialah sektor maritim, perkapalan dan logistik di rantau Mediterranean. Dalam keadaan tertentu, serangan ini membawa kepada penggunaan IMAPLoader sebagai muatan berikutnya, terutamanya apabila mangsa dianggap sebagai sasaran bernilai tinggi.

Perisian Hasad IMAPLoader ialah Komponen Penting dalam Rantaian Serangan Berbilang Peringkat

IMAPLoader dikatakan sebagai pengganti implan IMAP berasaskan Python Tortoiseshell yang sebelum ini digunakan pada akhir 2021 dan awal 2022, disebabkan persamaan dalam fungsinya. Perisian hasad bertindak sebagai pemuat turun untuk muatan peringkat seterusnya dengan menanyakan akaun e-mel IMAP berkod keras, secara khusus menyemak folder peti mel yang disalah eja sebagai 'Recive' untuk mendapatkan semula boleh laku daripada lampiran mesej.

Dalam rantaian serangan alternatif, dokumen umpan Microsoft Excel digunakan sebagai vektor awal untuk memulakan proses berbilang peringkat untuk menyampaikan dan melaksanakan IMAPLoader, menunjukkan bahawa pelaku ancaman menggunakan pelbagai taktik dan teknik untuk merealisasikan matlamat strategiknya.

Penyelidik juga telah menemui tapak pancingan data yang dicipta oleh Tortoiseshell, sebahagian daripadanya ditujukan kepada sektor pelancongan dan perhotelan di Eropah, untuk menjalankan penuaian kelayakan menggunakan halaman log masuk Microsoft palsu.

Aktor ancaman ini kekal sebagai ancaman yang aktif dan berterusan kepada banyak industri dan negara, termasuk sektor maritim, perkapalan dan logistik dalam Mediterranean; industri nuklear, aeroangkasa dan pertahanan di AS dan Eropah serta penyedia perkhidmatan yang diuruskan IT di Timur Tengah. Kemas kini selalunya termasuk pembaikan penting untuk kelemahan yang boleh dieksploitasi oleh penjenayah siber. Mengesahkan kemas kini automatik ialah cara yang mudah untuk memastikan peranti anda diperkukuh daripada ancaman yang muncul.