IMAPloader ਮਾਲਵੇਅਰ

ਇਰਾਨ ਨਾਲ ਜੁੜੇ ਸਾਈਬਰ ਧਮਕੀ ਸਮੂਹ ਟੋਰਟੋਇਸੈੱਲ, ਵਾਟਰਿੰਗ ਹੋਲ ਹਮਲਿਆਂ ਵਿੱਚ ਹਾਲ ਹੀ ਵਿੱਚ ਹੋਏ ਵਾਧੇ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ। ਇਹਨਾਂ ਹਮਲਿਆਂ ਦਾ ਉਦੇਸ਼ ਇੱਕ ਮਾਲਵੇਅਰ ਤਣਾਅ ਨੂੰ ਜਾਰੀ ਕਰਨਾ ਹੈ ਜਿਸਨੂੰ IMALoader ਕਿਹਾ ਜਾਂਦਾ ਹੈ।

.NET ਮਾਲਵੇਅਰ ਵਜੋਂ ਵਰਗੀਕ੍ਰਿਤ IMAPloader, ਨੇਟਿਵ ਵਿੰਡੋਜ਼ ਟੂਲਜ਼ ਰਾਹੀਂ ਟਾਰਗੇਟ ਸਿਸਟਮਾਂ ਨੂੰ ਪ੍ਰੋਫਾਈਲ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਰੱਖਦਾ ਹੈ। ਇਸਦਾ ਪ੍ਰਾਇਮਰੀ ਫੰਕਸ਼ਨ ਵਾਧੂ ਖਤਰਨਾਕ ਪੇਲੋਡਸ ਲਈ ਇੱਕ ਡਾਊਨਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਨਾ ਹੈ। ਮਾਲਵੇਅਰ ਈਮੇਲ ਨੂੰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਚੈਨਲ ਵਜੋਂ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ, ਇਸ ਨੂੰ ਈਮੇਲ ਅਟੈਚਮੈਂਟਾਂ ਤੋਂ ਮੁੜ ਪ੍ਰਾਪਤ ਕੀਤੇ ਪੇਲੋਡਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਨਵੀਆਂ ਸੇਵਾਵਾਂ ਦੀ ਤੈਨਾਤੀ ਰਾਹੀਂ ਅਮਲ ਦੀ ਸ਼ੁਰੂਆਤ ਕਰਦਾ ਹੈ।

ਟੋਰਟੋਇਸੈੱਲ ਇੱਕ ਧਮਕੀ ਅਭਿਨੇਤਾ ਹੈ ਜੋ ਅਨੇਕ ਅਟੈਕ ਮੁਹਿੰਮਾਂ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ

ਘੱਟੋ-ਘੱਟ 2018 ਤੋਂ ਕੰਮ ਕਰ ਰਹੇ, Tortoiseshell ਕੋਲ ਮਾਲਵੇਅਰ ਵੰਡ ਦੀ ਸਹੂਲਤ ਲਈ ਵੈੱਬਸਾਈਟਾਂ ਦੇ ਰਣਨੀਤਕ ਸਮਝੌਤਿਆਂ ਨੂੰ ਰੁਜ਼ਗਾਰ ਦੇਣ ਦਾ ਟਰੈਕ ਰਿਕਾਰਡ ਹੈ। 2023 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਜ਼ਰਾਈਲ ਵਿੱਚ ਸ਼ਿਪਿੰਗ, ਲੌਜਿਸਟਿਕਸ ਅਤੇ ਵਿੱਤੀ ਸੇਵਾਵਾਂ ਕੰਪਨੀਆਂ ਨਾਲ ਜੁੜੀਆਂ ਅੱਠ ਵੈੱਬਸਾਈਟਾਂ ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਲਈ ਸਮੂਹ ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਵਜੋਂ ਪਛਾਣਿਆ।

ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਦਾਕਾਰ ਇਸਲਾਮਿਕ ਰੈਵੋਲਿਊਸ਼ਨਰੀ ਗਾਰਡ ਕੋਰ (IRGC) ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ। ਉਸ ਨੂੰ ਵਿਆਪਕ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਭਾਈਚਾਰੇ ਦੁਆਰਾ ਵੱਖ-ਵੱਖ ਨਾਵਾਂ ਨਾਲ ਪਛਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਕ੍ਰਿਮਸਨ ਸੈਂਡਸਟੋਰਮ (ਪਹਿਲਾਂ ਕਿਊਰੀਅਮ), ਇੰਪੀਰੀਅਲ ਕਿਟਨ, ਟੀਏ456 ਅਤੇ ਯੈਲੋ ਲਿਡਰਕ ਸ਼ਾਮਲ ਹਨ।

2022 ਤੋਂ 2023 ਤੱਕ ਫੈਲੇ ਹਮਲਿਆਂ ਦੀ ਤਾਜ਼ਾ ਲਹਿਰ ਵਿੱਚ, ਸਮੂਹ ਨੇ ਜਾਇਜ਼ ਜਾਇਜ਼ ਵੈੱਬਸਾਈਟਾਂ ਵਿੱਚ ਧਮਕੀ ਦੇਣ ਵਾਲੀ JavaScript ਨੂੰ ਏਮਬੈਡ ਕਰਨ ਦੀ ਰਣਨੀਤੀ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਇਸ ਪਹੁੰਚ ਦਾ ਉਦੇਸ਼ ਵਿਜ਼ਟਰਾਂ ਬਾਰੇ ਵਿਸਤ੍ਰਿਤ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨਾ, ਉਹਨਾਂ ਦੇ ਸਥਾਨ, ਡਿਵਾਈਸ ਦੇ ਵੇਰਵੇ ਅਤੇ ਉਹਨਾਂ ਦੇ ਦੌਰੇ ਦੇ ਸਮੇਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨਾ ਸੀ।

ਇਹਨਾਂ ਘੁਸਪੈਠ ਦੇ ਖਾਸ ਨਿਸ਼ਾਨੇ ਮੈਡੀਟੇਰੀਅਨ ਖੇਤਰ ਵਿੱਚ ਸਮੁੰਦਰੀ, ਸ਼ਿਪਿੰਗ ਅਤੇ ਲੌਜਿਸਟਿਕ ਸੈਕਟਰ ਸਨ। ਕੁਝ ਸਥਿਤੀਆਂ ਵਿੱਚ, ਇਹਨਾਂ ਹਮਲਿਆਂ ਨੇ ਬਾਅਦ ਦੇ ਪੇਲੋਡ ਵਜੋਂ IMAPloader ਦੀ ਤੈਨਾਤੀ ਕੀਤੀ, ਖਾਸ ਤੌਰ 'ਤੇ ਜਦੋਂ ਪੀੜਤ ਨੂੰ ਉੱਚ-ਮੁੱਲ ਦਾ ਟੀਚਾ ਮੰਨਿਆ ਜਾਂਦਾ ਸੀ।

IMAPLoader ਮਾਲਵੇਅਰ ਮਲਟੀ-ਸਟੇਜ ਅਟੈਕ ਚੇਨ ਵਿੱਚ ਇੱਕ ਜ਼ਰੂਰੀ ਹਿੱਸਾ ਹੈ

ਕਾਰਜਸ਼ੀਲਤਾ ਵਿੱਚ ਸਮਾਨਤਾਵਾਂ ਦੇ ਕਾਰਨ, IMAPLoader ਨੂੰ ਪਾਇਥਨ-ਅਧਾਰਿਤ IMAP ਇਮਪਲਾਂਟ ਟੌਰਟੋਇਸੈੱਲ ਲਈ ਇੱਕ ਬਦਲ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਪਹਿਲਾਂ 2021 ਦੇ ਅਖੀਰ ਵਿੱਚ ਅਤੇ 2022 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਵਰਤਿਆ ਗਿਆ ਸੀ। ਮਾਲਵੇਅਰ ਹਾਰਡ-ਕੋਡ ਵਾਲੇ IMAP ਈਮੇਲ ਖਾਤਿਆਂ ਦੀ ਪੁੱਛਗਿੱਛ ਕਰਕੇ ਅਗਲੇ ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਲਈ ਇੱਕ ਡਾਉਨਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਸੁਨੇਹਾ ਅਟੈਚਮੈਂਟਾਂ ਤੋਂ ਐਗਜ਼ੀਕਿਊਟੇਬਲਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ 'ਪ੍ਰਾਪਤ' ਵਜੋਂ ਗਲਤ ਸ਼ਬਦ-ਜੋੜ ਵਾਲੇ ਮੇਲਬਾਕਸ ਫੋਲਡਰ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ।

ਇੱਕ ਵਿਕਲਪਿਕ ਹਮਲੇ ਦੀ ਲੜੀ ਵਿੱਚ, ਇੱਕ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਐਕਸਲ ਡੀਕੋਏ ਦਸਤਾਵੇਜ਼ ਨੂੰ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਵੈਕਟਰ ਵਜੋਂ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ ਤਾਂ ਜੋ IMAPloader ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨ ਅਤੇ ਲਾਗੂ ਕਰਨ ਲਈ ਇੱਕ ਬਹੁ-ਪੜਾਵੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਕਿੱਕ-ਸਟਾਰਟ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ ਆਪਣੇ ਰਣਨੀਤਕ ਟੀਚਿਆਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਬਹੁਤ ਸਾਰੀਆਂ ਚਾਲਾਂ ਅਤੇ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਰਿਹਾ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ Tortoiseshell ਦੁਆਰਾ ਬਣਾਈਆਂ ਗਈਆਂ ਫਿਸ਼ਿੰਗ ਸਾਈਟਾਂ ਦੀ ਵੀ ਖੋਜ ਕੀਤੀ ਹੈ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਕੁਝ ਦਾ ਉਦੇਸ਼ ਯੂਰਪ ਦੇ ਅੰਦਰ ਯਾਤਰਾ ਅਤੇ ਪਰਾਹੁਣਚਾਰੀ ਖੇਤਰਾਂ ਲਈ ਹੈ, ਜਾਅਲੀ Microsoft ਸਾਈਨ-ਇਨ ਪੰਨਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਕਟਾਈ ਕਰਨ ਲਈ।

ਇਹ ਧਮਕੀ ਅਭਿਨੇਤਾ ਮੈਡੀਟੇਰੀਅਨ ਦੇ ਅੰਦਰ ਸਮੁੰਦਰੀ, ਸ਼ਿਪਿੰਗ ਅਤੇ ਲੌਜਿਸਟਿਕ ਸੈਕਟਰਾਂ ਸਮੇਤ ਬਹੁਤ ਸਾਰੇ ਉਦਯੋਗਾਂ ਅਤੇ ਦੇਸ਼ਾਂ ਲਈ ਇੱਕ ਸਰਗਰਮ ਅਤੇ ਨਿਰੰਤਰ ਖ਼ਤਰਾ ਬਣਿਆ ਹੋਇਆ ਹੈ; ਅਮਰੀਕਾ ਅਤੇ ਯੂਰਪ ਵਿੱਚ ਪਰਮਾਣੂ, ਏਰੋਸਪੇਸ, ਅਤੇ ਰੱਖਿਆ ਉਦਯੋਗ ਅਤੇ ਮੱਧ ਪੂਰਬ ਵਿੱਚ IT-ਪ੍ਰਬੰਧਿਤ ਸੇਵਾ ਪ੍ਰਦਾਤਾ। ਅੱਪਡੇਟਾਂ ਵਿੱਚ ਅਕਸਰ ਕਮਜ਼ੋਰੀਆਂ ਲਈ ਮਹੱਤਵਪੂਰਨ ਫਿਕਸ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਦਾ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਆਟੋਮੈਟਿਕ ਅੱਪਡੇਟਾਂ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨਾ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਦਾ ਇੱਕ ਸੁਵਿਧਾਜਨਕ ਤਰੀਕਾ ਹੈ ਕਿ ਤੁਹਾਡੀ ਡਿਵਾਈਸ ਉੱਭਰ ਰਹੇ ਖਤਰਿਆਂ ਦੇ ਵਿਰੁੱਧ ਮਜ਼ਬੂਤ ਹੈ।