IMAPLoader malvér

Skupina kybernetických hrozieb Tortoiseshell, napojená na Irán, bola spojená s nedávnym nárastom útokov na napájadlá. Cieľom týchto útokov je rozpútať malvérový kmeň známy ako IMAPLoader.

IMAPLoader, klasifikovaný ako malvér .NET, má schopnosť profilovať cieľové systémy prostredníctvom natívnych nástrojov Windows. Jeho primárnou funkciou je slúžiť ako downloader pre ďalšie škodlivé dáta. Malvér využíva e-mail ako kanál Command-and-Control (C2, C&C), ktorý mu umožňuje spúšťať užitočné zaťaženia získané z príloh e-mailov. Okrem toho iniciuje realizáciu prostredníctvom nasadenia nových služieb.

Korytnačka je hrozba spojená s mnohými útočnými kampaňami

Tortoiseshell, ktorý funguje minimálne od roku 2018, má skúsenosti s využívaním strategických kompromisov webových stránok na uľahčenie distribúcie škodlivého softvéru. Začiatkom roku 2023 výskumníci identifikovali skupinu ako zodpovednú za porušenie ôsmich webových stránok spojených s prepravnými, logistickými a finančnými spoločnosťami v Izraeli.

Tento aktér hrozby je spojený so zborom islamských revolučných gárd (IRGC). Širšia komunita kybernetickej bezpečnosti ho uznáva pod rôznymi menami, vrátane Crimson Sandstorm (predtým Curium), Imperial Kitten, TA456 a Yellow Liderc.

V nedávnej vlne útokov v rokoch 2022 až 2023 skupina využila taktiku vkladania hroziaceho JavaScriptu do napadnutých legitímnych webových stránok. Cieľom tohto prístupu bolo zhromaždiť podrobné informácie o návštevníkoch, ktoré zahŕňajú ich polohu, podrobnosti o zariadení a načasovanie ich návštev.

Konkrétnymi cieľmi týchto prienikov boli námorné, lodné a logistické sektory v stredomorskom regióne. V niektorých prípadoch tieto útoky viedli k nasadeniu IMAPLoadera ako následného užitočného zaťaženia, najmä ak bola obeť považovaná za cieľ vysokej hodnoty.

Malvér IMAPLoader je základnou súčasťou viacstupňového reťazca útokov

O IMAPLoader sa hovorí, že je náhradou za implantát IMAP založený na Pythone, ktorý sa predtým používal koncom roku 2021 a začiatkom roku 2022, kvôli podobnosti funkcií. Malvér funguje ako downloader pre ďalšie fázy dát tým, že sa pýta na pevne zakódované e-mailové účty IMAP, konkrétne kontroluje priečinok poštovej schránky nesprávne napísaný ako „Prijať“, aby sa načítali spustiteľné súbory z príloh správ.

V alternatívnom reťazci útokov sa návnada z programu Microsoft Excel používa ako počiatočný vektor na spustenie viacstupňového procesu doručenia a spustenia IMAPLoader, čo naznačuje, že aktér hrozby používa množstvo taktík a techník na realizáciu svojich strategických cieľov.

Výskumníci tiež objavili phishingové stránky vytvorené spoločnosťou Tortoiseshell, z ktorých niektoré sú zamerané na sektory cestovania a pohostinstva v Európe, na vykonávanie získavania poverení pomocou falošných prihlasovacích stránok spoločnosti Microsoft.

Tento aktér hrozby zostáva aktívnou a trvalou hrozbou pre mnohé priemyselné odvetvia a krajiny vrátane námorného, lodného a logistického sektora v Stredozemnom mori; jadrový, letecký a obranný priemysel v USA a Európe a poskytovatelia služieb spravovaných IT na Blízkom východe. Aktualizácie často zahŕňajú zásadné opravy zraniteľných miest, ktoré by mohli využiť kyberzločinci. Overenie automatických aktualizácií je pohodlný spôsob, ako zabezpečiť, aby bolo vaše zariadenie chránené proti vznikajúcim hrozbám.