IMAPLoader-malware

De cyberdreigingsgroep Tortoiseshell, verbonden met Iran, wordt in verband gebracht met een recente golf van waterpoelaanvallen. Deze aanvallen zijn bedoeld om een malwaresoort te ontketenen die bekend staat als IMAPLoader.

IMAPLoader, geclassificeerd als .NET-malware, beschikt over de mogelijkheid om doelsystemen te profileren via native Windows-tools. De primaire functie ervan is om te dienen als downloader voor extra kwaadaardige ladingen. De malware gebruikt e-mail als Command-and-Control (C2, C&C)-kanaal, waardoor het payloads kan uitvoeren die zijn opgehaald uit e-mailbijlagen. Bovendien initieert het de uitvoering door de inzet van nieuwe diensten.

Tortoiseshell is een bedreigingsacteur die betrokken is bij talloze aanvalscampagnes

Tortoiseshell is actief sinds minstens 2018 en heeft een staat van dienst in het inzetten van strategische compromissen op websites om de verspreiding van malware te vergemakkelijken. Begin 2023 identificeerden onderzoekers de groep als verantwoordelijk voor het overtreden van acht websites die gelinkt waren aan scheepvaart-, logistieke en financiële dienstverleners in Israël.

Deze dreigingsactor wordt geassocieerd met de Islamitische Revolutionaire Garde (IRGC). Hij wordt door de bredere cyberbeveiligingsgemeenschap onder verschillende namen herkend, waaronder Crimson Sandstorm (voorheen Curium), Imperial Kitten, TA456 en Yellow Liderc.

Tijdens de recente aanvalsgolf van 2022 tot 2023 maakte de groep gebruik van de tactiek om bedreigend JavaScript in gecompromitteerde legitieme websites in te bedden. Deze aanpak was bedoeld om gedetailleerde informatie over bezoekers te verzamelen, waaronder hun locatie, apparaatgegevens en de timing van hun bezoeken.

De specifieke doelwitten van deze indringers waren de maritieme, scheepvaart- en logistieke sectoren in het Middellandse Zeegebied. In bepaalde gevallen leidden deze aanvallen tot de inzet van IMAPLoader als daaropvolgende payload, vooral wanneer het slachtoffer als een waardevol doelwit werd beschouwd.

De IMAPLoader-malware is een essentieel onderdeel in een meerfasige aanvalsketen

IMAPLoader zou een vervanging zijn voor een op Python gebaseerd IMAP-implantaat Tortoiseshell dat eerder eind 2021 en begin 2022 werd gebruikt, vanwege de overeenkomsten in de functionaliteit. De malware fungeert als een downloader voor payloads in de volgende fase door hardgecodeerde IMAP-e-mailaccounts te ondervragen, waarbij met name een mailboxmap wordt gecontroleerd die verkeerd is gespeld als 'Recive' om de uitvoerbare bestanden uit de berichtbijlagen op te halen.

In een alternatieve aanvalsketen wordt een Microsoft Excel-lokmiddel gebruikt als een eerste vector om een meerfasig proces op gang te brengen om IMAPLoader af te leveren en uit te voeren, wat aangeeft dat de bedreigingsacteur talloze tactieken en technieken gebruikt om zijn strategische doelen te realiseren.

Onderzoekers hebben ook phishing-sites ontdekt die zijn gemaakt door Tortoiseshell, waarvan sommige gericht zijn op de reis- en horecasector in Europa, om inloggegevens te verzamelen met behulp van valse Microsoft-inlogpagina's.

Deze dreigingsactor blijft een actieve en aanhoudende bedreiging voor veel industrieën en landen, waaronder de maritieme, scheepvaart- en logistieke sectoren in het Middellandse Zeegebied; De nucleaire, ruimtevaart- en defensie-industrieën in de VS en Europa en door IT beheerde dienstverleners in het Midden-Oosten. Updates bevatten vaak cruciale oplossingen voor kwetsbaarheden die door cybercriminelen kunnen worden uitgebuit. Het valideren van automatische updates is een handige manier om ervoor te zorgen dat uw apparaat beschermd is tegen opkomende bedreigingen.