Zlonamerna programska oprema IMAPLoader

Skupina za kibernetsko grožnjo Tortoiseshell, povezana z Iranom, je bila povezana z nedavnim porastom napadov na vodne luknje. Namen teh napadov je sprostiti vrsto zlonamerne programske opreme, znano kot IMAPLoader.

IMAPLoader, razvrščen kot zlonamerna programska oprema .NET, ima zmožnost profiliranja ciljnih sistemov prek izvornih orodij Windows. Njegova primarna funkcija je služiti kot prenosnik za dodatne zlonamerne obremenitve. Zlonamerna programska oprema uporablja e-pošto kot kanal za ukazovanje in nadzor (C2, C&C), kar ji omogoča izvajanje uporabnih podatkov, pridobljenih iz e-poštnih prilog. Poleg tega začne izvajanje z uvedbo novih storitev.

Želvovina je akter grožnje, povezan s številnimi napadalnimi kampanjami

Podjetje Tortoiseshell, ki deluje vsaj od leta 2018, ima izkušnje z uporabo strateških kompromisov spletnih mest za lažjo distribucijo zlonamerne programske opreme. V začetku leta 2023 so raziskovalci identificirali skupino kot odgovorno za vdor v osem spletnih mest, povezanih s podjetji za ladijski promet, logistiko in finančne storitve v Izraelu.

Ta akter grožnje je povezan z Islamsko revolucionarno gardo (IRGC). Širša skupnost kibernetske varnosti ga pozna pod različnimi imeni, vključno s Crimson Sandstorm (prej Curium), Imperial Kitten, TA456 in Yellow Liderc.

V nedavnem valu napadov, ki je trajal od leta 2022 do 2023, je skupina uporabila taktiko vdelave grozečega JavaScripta v ogrožena zakonita spletna mesta. Ta pristop je bil namenjen zbiranju podrobnih informacij o obiskovalcih, vključno z njihovo lokacijo, podrobnosti o napravah in čas njihovih obiskov.

Posebni cilji teh vdorov so bili pomorski, ladijski in logistični sektorji v sredozemski regiji. V nekaterih primerih so ti napadi vodili do uvedbe IMAPLoaderja kot kasnejšega koristnega tovora, zlasti ko je bila žrtev ocenjena kot tarča visoke vrednosti.

Zlonamerna programska oprema IMAPLoader je bistvena komponenta v večstopenjski verigi napadov

IMAPLoader naj bi bil zamenjava za vsadek IMAP Tortoiseshell, ki temelji na Pythonu in je bil prej uporabljen konec leta 2021 in v začetku leta 2022, zaradi podobnosti v funkcionalnosti. Zlonamerna programska oprema deluje kot prenosnik za koristne obremenitve naslednje stopnje, tako da poizveduje po trdo kodiranih e-poštnih računih IMAP, posebej preverja mapo nabiralnika, ki je napačno črkovana kot 'Recive', da pridobi izvedljive datoteke iz prilog sporočila.

V nadomestni verigi napadov se vabni dokument Microsoft Excel uporablja kot začetni vektor za zagon večstopenjskega procesa za dostavo in izvedbo IMAPLoaderja, kar kaže, da akter grožnje uporablja številne taktike in tehnike za uresničitev svojih strateških ciljev.

Raziskovalci so odkrili tudi spletna mesta z lažnim predstavljanjem, ki jih je ustvaril Tortoiseshell, od katerih so nekatera namenjena potovalnemu in gostinskemu sektorju v Evropi, za zbiranje poverilnic z lažnimi Microsoftovimi prijavnimi stranmi.

Ta akter grožnje ostaja aktivna in vztrajna grožnja številnim panogam in državam, vključno s pomorskim, ladijskim in logističnim sektorjem v Sredozemlju; jedrska, vesoljska in obrambna industrija v ZDA in Evropi ter ponudniki storitev, ki jih upravlja IT na Bližnjem vzhodu. posodobitve pogosto vključujejo ključne popravke za ranljivosti, ki bi jih lahko izkoristili kibernetski kriminalci. Preverjanje samodejnih posodobitev je priročen način za zagotovitev, da je vaša naprava zaščitena pred nastajajočimi grožnjami.