IMAPLoader skadelig programvare

Nettrusselgruppen Tortoiseshell, knyttet til Iran, har blitt knyttet til en nylig økning i vannhullsangrep. Disse angrepene tar sikte på å frigjøre en skadelig programvarestamme kjent som IMAPLoader.

IMAPLoader, klassifisert som en .NET-skadelig programvare, har muligheten til å profilere målsystemer gjennom opprinnelige Windows-verktøy. Dens primære funksjon er å tjene som en nedlaster for ytterligere ondsinnede nyttelaster. Skadevaren bruker e-post som en Command-and-Control-kanal (C2, C&C), som gjør det mulig å utføre nyttelaster hentet fra e-postvedlegg. Videre initierer den utførelse gjennom utrulling av nye tjenester.

Tortoiseshell er en trusselskuespiller knyttet til en rekke angrepskampanjer

Tortoiseshell, som har vært i drift siden minst 2018, har en erfaring med å bruke strategiske kompromisser av nettsteder for å lette distribusjon av skadelig programvare. Tidlig i 2023 identifiserte forskere gruppen som ansvarlig for brudd på åtte nettsteder knyttet til frakt-, logistikk- og finansielle tjenester i Israel.

Denne trusselaktøren er tilknyttet Islamic Revolutionary Guard Corps (IRGC). Han er anerkjent av det bredere cybersikkerhetssamfunnet med forskjellige navn, inkludert Crimson Sandstorm (tidligere Curium), Imperial Kitten, TA456 og Yellow Liderc.

I den siste bølgen av angrep fra 2022 til 2023, brukte gruppen taktikken med å bygge inn truende JavaScript på kompromitterte legitime nettsteder. Denne tilnærmingen hadde som mål å samle detaljert informasjon om besøkende, inkludert deres plassering, enhetsdetaljer og tidspunktet for besøkene deres.

De spesifikke målene for disse innbruddene var maritime, skipsfart og logistikksektorene i Middelhavsregionen. I visse tilfeller førte disse angrepene til utplassering av IMAPLoader som en påfølgende nyttelast, spesielt når offeret ble ansett som et mål med høy verdi.

IMAPLoader-malware er en essensiell komponent i en flertrinns angrepskjede

IMAPLoader sies å være en erstatning for et Python-basert IMAP-implantat Tortoiseshell tidligere brukt i slutten av 2021 og begynnelsen av 2022, på grunn av likhetene i funksjonaliteten. Skadevaren fungerer som en nedlaster for nyttelaster i neste trinn ved å spørre hardkodede IMAP-e-postkontoer, spesifikt sjekke en postboksmappe feilstavet som "Motta" for å hente kjørbare filer fra meldingsvedleggene.

I en alternativ angrepskjede brukes et Microsoft Excel-lokkedokument som en innledende vektor for å kickstarte en flertrinnsprosess for å levere og utføre IMAPLoader, noe som indikerer at trusselaktøren bruker en rekke taktikker og teknikker for å realisere sine strategiske mål.

Forskere har også oppdaget phishing-nettsteder laget av Tortoiseshell, hvorav noen er rettet mot reise- og gjestfrihetssektorene i Europa, for å utføre innhenting av legitimasjon ved å bruke falske Microsoft-påloggingssider.

Denne trusselaktøren er fortsatt en aktiv og vedvarende trussel mot mange industrier og land, inkludert maritime, skipsfart og logistikksektorene i Middelhavet; atom-, romfarts- og forsvarsindustrien i USA og Europa og IT-administrerte tjenesteleverandører i Midtøsten.are-oppdateringer inkluderer ofte viktige rettinger for sårbarheter som kan utnyttes av nettkriminelle. Validering av automatiske oppdateringer er en praktisk måte å sikre at enheten din er forsterket mot nye trusler.