Programe malware IMAPLoader

Grupul de amenințări cibernetice Tortoiseshell, conectat la Iran, a fost legat de o creștere recentă a atacurilor la gropi de apă. Aceste atacuri urmăresc să dezlănțuie o tulpină de malware cunoscută sub numele de IMAPLoader.

IMAPLoader, clasificat ca un malware .NET, are capacitatea de a profila sistemele țintă prin instrumente Windows native. Funcția sa principală este de a servi ca un program de descărcare pentru încărcături utile rău intenționate. Malware-ul folosește e-mailul ca canal de comandă și control (C2, C&C), permițându-i să execute încărcături utile preluate din atașamentele de e-mail. În plus, inițiază execuția prin implementarea de noi servicii.

Tortoiseshell este un actor de amenințare asociat cu numeroase campanii de atac

Funcționând din 2018 cel puțin, Tortoiseshell are o experiență de utilizare a compromisurilor strategice ale site-urilor web pentru a facilita distribuirea de malware. La începutul anului 2023, cercetătorii au identificat grupul ca fiind responsabil pentru încălcarea a opt site-uri web legate de companii de transport maritim, logistică și servicii financiare din Israel.

Acest actor de amenințare este asociat cu Corpul Gărzii Revoluționare Islamice (IRGC). El este recunoscut de comunitatea mai largă de securitate cibernetică sub diferite nume, inclusiv Crimson Sandstorm (anterior Curium), Imperial Kitten, TA456 și Yellow Liderc.

În valul recent de atacuri din 2022 până în 2023, grupul a folosit tactica de a încorpora JavaScript amenințător în site-uri web legitime compromise. Această abordare a avut ca scop colectarea de informații detaliate despre vizitatori, cuprinzând locația acestora, detaliile dispozitivului și momentul vizitelor lor.

Țintele specifice ale acestor intruziuni au fost sectoarele maritime, maritime și logistice din regiunea mediteraneană. În anumite cazuri, aceste atacuri au condus la desfășurarea IMAPLoader ca încărcare utilă ulterioară, mai ales atunci când victima a fost considerată o țintă de mare valoare.

Programul malware IMAPLoader este o componentă esențială într-un lanț de atac în mai multe etape

Se spune că IMAPLoader este un înlocuitor pentru un implant IMAP bazat pe Python, care a fost folosit anterior la sfârșitul anului 2021 și începutul anului 2022, datorită asemănărilor în funcționalitate. Malware-ul acționează ca un program de descărcare pentru încărcările utile din etapa următoare interogând conturile de e-mail IMAP codificate, în special verificând un folder de cutie poștală scris greșit ca „Primire” pentru a prelua fișierele executabile din atașamentele mesajelor.

Într-un lanț de atac alternativ, un document de momeală Microsoft Excel este folosit ca vector inițial pentru a demara un proces în mai multe etape pentru a furniza și executa IMAPLoader, indicând faptul că actorul amenințării folosește numeroase tactici și tehnici pentru a-și atinge obiectivele strategice.

Cercetătorii au descoperit, de asemenea, site-uri de phishing create de Tortoiseshell, dintre care unele sunt destinate sectoarelor de călătorie și ospitalitate din Europa, pentru a efectua colectarea de acreditări folosind pagini false de conectare Microsoft.

Acest actor de amenințare rămâne o amenințare activă și persistentă pentru multe industrii și țări, inclusiv sectoarele maritime, maritime și logistice din Mediterana; industriile nucleare, aerospațiale și de apărare din SUA și Europa și furnizorii de servicii gestionați de IT din Orientul Mijlociu. Actualizările includ adesea remedieri cruciale pentru vulnerabilități care ar putea fi exploatate de infractorii cibernetici. Validarea actualizărilor automate este o modalitate convenabilă de a vă asigura că dispozitivul dvs. este fortificat împotriva amenințărilor emergente.