Вредоносное ПО IMAPLoader

Группа киберугроз Tortoiseshell, связанная с Ираном, была связана с недавним всплеском атак на водопои. Целью этих атак является использование штамма вредоносного ПО, известного как IMAPLoader.

IMAPLoader, классифицируемый как вредоносное ПО для .NET, обладает способностью профилировать целевые системы с помощью собственных инструментов Windows. Его основная функция — служить загрузчиком дополнительных вредоносных полезных данных. Вредоносное ПО использует электронную почту в качестве канала управления и контроля (C2, C&C), что позволяет ему выполнять полезную нагрузку, полученную из вложений электронной почты. Более того, он инициирует выполнение посредством развертывания новых сервисов.

Черепаховый панцирь — источник угроз, связанный с многочисленными кампаниями атак

Действуя как минимум с 2018 года, Tortoiseshell имеет опыт использования стратегических взломов веб-сайтов для облегчения распространения вредоносного ПО. В начале 2023 года исследователи установили, что группа несет ответственность за взлом восьми веб-сайтов, связанных с судоходными, логистическими и финансовыми компаниями в Израиле.

Этот злоумышленник связан с Корпусом стражей исламской революции (КСИР). В более широком сообществе кибербезопасности он известен под разными именами, включая Crimson Sandstorm (ранее Curium), Imperial Kitten, TA456 и Yellow Liderc.

Во время недавней волны атак, охватившей период с 2022 по 2023 год, группа использовала тактику внедрения угрожающего JavaScript в скомпрометированные законные веб-сайты. Этот подход был направлен на сбор подробной информации о посетителях, включая их местоположение, сведения об устройствах и время их посещения.

Конкретными целями этих вторжений были морской, судоходный и логистический секторы в Средиземноморском регионе. В некоторых случаях эти атаки приводили к использованию IMAPLoader в качестве последующей полезной нагрузки, особенно когда жертва считалась важной целью.

Вредоносная программа IMAPLoader — важный компонент многоэтапной цепочки атак

Говорят, что IMAPLoader станет заменой имплантата IMAP Tortoiseshell на базе Python, который ранее использовался в конце 2021 и начале 2022 года из-за сходства функций. Вредоносная программа действует как загрузчик полезных данных следующего этапа, запрашивая жестко запрограммированные учетные записи электронной почты IMAP, в частности проверяя папку почтового ящика с ошибкой «Recive», чтобы получить исполняемые файлы из вложений к сообщению.

В альтернативной цепочке атак документ-приманка Microsoft Excel используется в качестве исходного вектора для запуска многоэтапного процесса доставки и выполнения IMAPLoader, что указывает на то, что злоумышленник использует многочисленные тактики и методы для реализации своих стратегических целей.

Исследователи также обнаружили фишинговые сайты, созданные Tortoiseshell, некоторые из которых нацелены на сектор путешествий и гостеприимства в Европе, для сбора учетных данных с использованием поддельных страниц входа Microsoft.

Этот субъект угрозы остается активной и постоянной угрозой для многих отраслей и стран, включая морской, судоходный и логистический секторы в Средиземноморье; Обновления ядерной, аэрокосмической и оборонной отраслей в США и Европе, а также поставщиков услуг, управляемых ИТ, на Ближнем Востоке. Часто включают важные исправления уязвимостей, которые могут быть использованы киберпреступниками. Проверка автоматических обновлений — это удобный способ обеспечить защиту вашего устройства от возникающих угроз.