IMAPloader मालवेयर
इरानसँग जोडिएको साइबर खतरा समूह Tortoiseshell, हालैको पानी प्वाल आक्रमणहरूमा जोडिएको छ। यी आक्रमणहरूको उद्देश्य IMALoader भनेर चिनिने मालवेयर स्ट्रेनलाई हटाउने हो।
IMAPloader, .NET मालवेयरको रूपमा वर्गीकृत, नेटिभ विन्डोज उपकरणहरू मार्फत लक्षित प्रणालीहरू प्रोफाइल गर्ने क्षमता छ। यसको प्राथमिक कार्य अतिरिक्त मालिसियस पेलोडहरूको लागि डाउनलोडरको रूपमा सेवा गर्नु हो। मालवेयरले इमेललाई कमाण्ड-एण्ड-कन्ट्रोल (C2, C&C) च्यानलको रूपमा प्रयोग गर्दछ, यसले इमेल एट्याचमेन्टहरूबाट प्राप्त पेलोडहरू कार्यान्वयन गर्न सक्षम पार्छ। यसबाहेक, यसले नयाँ सेवाहरूको तैनाती मार्फत कार्यान्वयन सुरु गर्दछ।
Tortoiseshell असंख्य आक्रमण अभियानहरूसँग सम्बद्ध एक थ्रेट अभिनेता हो
कम्तिमा 2018 देखि सञ्चालन भइरहेको, Tortoiseshell सँग मालवेयर वितरणलाई सहज बनाउन वेबसाइटहरूको रणनीतिक सम्झौताहरू प्रयोग गर्ने ट्र्याक रेकर्ड छ। 2023 को सुरुमा, अन्वेषकहरूले इजरायलमा शिपिंग, रसद, र वित्तीय सेवा कम्पनीहरूसँग जोडिएका आठ वेबसाइटहरू उल्लङ्घन गर्न समूहलाई जिम्मेवारको रूपमा पहिचान गरे।
यो धम्की दिने अभिनेता इस्लामिक रिभोलुसनरी गार्ड कोर (IRGC) सँग सम्बन्धित छ। क्रिमसन स्यान्डस्टर्म (पहिले क्युरियम), इम्पेरियल किटेन, TA456 र येलो लिडरक लगायतका विभिन्न नामहरूले व्यापक साइबर सुरक्षा समुदायद्वारा उहाँलाई चिनिन्छ।
2022 देखि 2023 सम्म फैलिएको आक्रमणको हालैको लहरमा, समूहले खतरापूर्ण जाभास्क्रिप्टलाई सम्झौता वैध वेबसाइटहरूमा इम्बेड गर्ने रणनीति प्रयोग गर्यो। यस दृष्टिकोणको उद्देश्य आगन्तुकहरूको बारेमा विस्तृत जानकारी सङ्कलन गर्न, तिनीहरूको स्थान, उपकरण विवरणहरू र तिनीहरूको भ्रमणको समय समावेश गर्ने थियो।
यी घुसपैठहरूको विशिष्ट लक्ष्य भूमध्यसागरीय क्षेत्रमा समुद्री, ढुवानी र रसद क्षेत्रहरू थिए। केहि उदाहरणहरूमा, यी आक्रमणहरूले IMAPloader लाई पछिको पेलोडको रूपमा तैनाती गर्न निम्त्यायो, विशेष गरी जब पीडितलाई उच्च-मूल्य लक्ष्य मानिएको थियो।
IMAPloader मालवेयर बहु-चरण आक्रमण श्रृंखलामा एक आवश्यक घटक हो।
IMAPloader लाई पहिले 2021 को अन्त र 2022 को प्रारम्भमा प्रयोग गरिएको पाइथन-आधारित IMAP इम्प्लान्टको लागि प्रतिस्थापन भनिन्छ, कार्यक्षमतामा समानताहरूको कारण। मालवेयरले हार्ड-कोड गरिएको IMAP इमेल खाताहरू क्वेरी गरेर अर्को चरणको पेलोडहरूका लागि डाउनलोडरको रूपमा कार्य गर्दछ, विशेष गरी सन्देश संलग्नहरूबाट कार्यान्वयनयोग्यहरू पुन: प्राप्त गर्न 'प्राप्त गर्नुहोस्' को रूपमा गलत हिज्जे गरिएको मेलबक्स फोल्डर जाँच गरेर।
वैकल्पिक आक्रमण शृङ्खलामा, Microsoft Excel decoy कागजातलाई IMAPloader डेलिभर गर्न र कार्यान्वयन गर्न बहु-चरण प्रक्रिया किक-स्टार्ट गर्न प्रारम्भिक भेक्टरको रूपमा प्रयोग गरिन्छ, यसले संकेत गर्दछ कि खतरा अभिनेताले आफ्नो रणनीतिक लक्ष्यहरू महसुस गर्न धेरै रणनीति र प्रविधिहरू प्रयोग गरिरहेको छ।
शोधकर्ताहरूले Tortoiseshell द्वारा सिर्जना गरिएका फिसिङ साइटहरू पनि पत्ता लगाएका छन्, जसमध्ये केही युरोप भित्रको यात्रा र आतिथ्य क्षेत्रहरूमा लक्षित छन्, नक्कली माइक्रोसफ्ट साइन-इन पृष्ठहरू प्रयोग गरेर क्रेडेन्सियल कटाई सञ्चालन गर्न।
यो खतरा अभिनेता भूमध्यसागर भित्र समुद्री, ढुवानी, र रसद क्षेत्रहरू सहित धेरै उद्योगहरू र देशहरूको लागि सक्रिय र निरन्तर खतरा बनेको छ; अमेरिका र युरोपमा आणविक, एयरोस्पेस, र रक्षा उद्योगहरू र मध्य पूर्वमा IT-व्यवस्थित सेवा प्रदायकहरू। त्यहाँका अद्यावधिकहरूले प्रायः साइबर अपराधीहरूले शोषण गर्न सक्ने जोखिमहरूका लागि महत्त्वपूर्ण समाधानहरू समावेश गर्दछ। स्वचालित अद्यावधिकहरू प्रमाणीकरण गर्नु भनेको तपाईंको यन्त्र उदीयमान खतराहरू विरुद्ध सुदृढ भएको सुनिश्चित गर्नको लागि एक सुविधाजनक तरिका हो।
