Złośliwe oprogramowanie IMAPLoader

Powiązaną z Iranem grupę cyberprzestępczą Tortoiseshell powiązano z niedawną falą ataków w wodopoju. Ataki te mają na celu uwolnienie odmiany złośliwego oprogramowania znanej jako IMAPLoader.

IMAPLoader, sklasyfikowany jako złośliwe oprogramowanie .NET, posiada możliwość profilowania systemów docelowych za pomocą natywnych narzędzi systemu Windows. Jego podstawową funkcją jest pobieranie dodatkowych szkodliwych ładunków. Szkodnik wykorzystuje pocztę elektroniczną jako kanał dowodzenia i kontroli (C2, C&C), umożliwiając mu wykonywanie ładunków pobranych z załączników wiadomości e-mail. Ponadto inicjuje realizację poprzez wdrożenie nowych usług.

Szylkret to podmiot stanowiący zagrożenie powiązany z licznymi kampaniami ataków

Działając co najmniej od 2018 r., Tortoiseshell ma doświadczenie w wykorzystywaniu strategicznych kompromisów w witrynach internetowych w celu ułatwienia dystrybucji złośliwego oprogramowania. Na początku 2023 r. badacze zidentyfikowali tę grupę jako odpowiedzialną za włamanie na osiem stron internetowych powiązanych z firmami spedycyjnymi, logistycznymi i świadczącymi usługi finansowe w Izraelu.

Ten podmiot zagrażający jest powiązany z Korpusem Strażników Rewolucji Islamskiej (IRGC). Jest rozpoznawany przez szerszą społeczność zajmującą się cyberbezpieczeństwem pod różnymi nazwami, w tym Crimson Sandstorm (wcześniej Curium), Imperial Kitten, TA456 i Yellow Liderc.

Podczas ostatniej fali ataków trwającej od 2022 do 2023 roku grupa zastosowała taktykę polegającą na osadzaniu groźnego kodu JavaScript w zainfekowanych legalnych witrynach internetowych. Podejście to miało na celu zebranie szczegółowych informacji o odwiedzających, obejmujących ich lokalizację, szczegóły urządzenia i czas ich wizyt.

Konkretnymi celami tych włamań były sektory morski, żeglugowy i logistyczny w regionie śródziemnomorskim. W niektórych przypadkach ataki te prowadziły do wdrożenia IMAPLoadera jako kolejnego ładunku, zwłaszcza gdy ofiarę uznano za cel o dużej wartości.

Złośliwe oprogramowanie IMAPLoader jest niezbędnym składnikiem wieloetapowego łańcucha ataków

Mówi się, że IMAPLoader zastępuje oparty na Pythonie implant IMAP Tortoiseshell, używany wcześniej na przełomie 2021 i 2022 roku, ze względu na podobieństwa w funkcjonalności. Szkodnik działa jako moduł pobierania ładunków następnego etapu, wysyłając zapytania do zakodowanych na stałe kont e-mail IMAP, w szczególności sprawdzając folder skrzynki pocztowej z błędną pisownią „Recive” w celu pobrania plików wykonywalnych z załączników wiadomości.

W alternatywnym łańcuchu ataków dokument-wabik programu Microsoft Excel jest używany jako wektor początkowy do rozpoczęcia wieloetapowego procesu dostarczania i uruchamiania IMAPLoadera, co wskazuje, że podmiot zagrażający stosuje liczne taktyki i techniki, aby zrealizować swoje strategiczne cele.

Badacze odkryli także witryny phishingowe utworzone przez Tortoiseshell, z których niektóre są skierowane do sektora podróży i hotelarstwa w Europie, w celu gromadzenia danych uwierzytelniających przy użyciu fałszywych stron logowania Microsoft.

Ten podmiot stwarzający zagrożenie pozostaje aktywnym i trwałym zagrożeniem dla wielu gałęzi przemysłu i krajów, w tym dla sektorów morskiego, żeglugi i logistyki w regionie Morza Śródziemnego; w przemyśle nuklearnym, lotniczym i obronnym w USA i Europie oraz u dostawców usług zarządzanych IT na Bliskim Wschodzie. Aktualizacje często zawierają kluczowe poprawki luk, które mogą zostać wykorzystane przez cyberprzestępców. Sprawdzanie poprawności automatycznych aktualizacji to wygodny sposób na zabezpieczenie urządzenia przed pojawiającymi się zagrożeniami.