Malware IMAPloader

Grupi i kërcënimit kibernetik Tortoiseshell, i lidhur me Iranin, ka qenë i lidhur me një rritje të kohëve të fundit të sulmeve të ujit. Këto sulme synojnë të lëshojnë një lloj malware të njohur si IMAPLoader.

IMAPLoader, i klasifikuar si një malware .NET, posedon aftësinë për të profilizuar sistemet e synuara përmes veglave amtare të Windows. Funksioni i tij kryesor është të shërbejë si një shkarkues për ngarkesa shtesë me qëllim të keq. Malware përdor email si një kanal Command-and-Control (C2, C&C), duke i mundësuar atij të ekzekutojë ngarkesat e marra nga bashkëngjitjet e postës elektronike. Për më tepër, ai fillon ekzekutimin përmes vendosjes së shërbimeve të reja.

Tortoiseshell është një aktor kërcënues i lidhur me fushata të shumta sulmesh

Duke operuar që të paktën nga viti 2018, Tortoiseshell ka një histori të përdorimit të kompromiseve strategjike të faqeve të internetit për të lehtësuar shpërndarjen e malware. Në fillim të vitit 2023, studiuesit identifikuan grupin si përgjegjës për shkeljen e tetë faqeve të internetit të lidhura me kompanitë e transportit, logjistikës dhe shërbimeve financiare në Izrael.

Ky aktor i kërcënimit është i lidhur me Korpusin e Gardës Revolucionare Islamike (IRGC). Ai njihet nga komuniteti më i gjerë i sigurisë kibernetike me emra të ndryshëm, duke përfshirë Crimson Sandstorm (më parë Curium), Imperial Kitten, TA456 dhe Yellow Liderc.

Në valën e fundit të sulmeve që shtrihen nga viti 2022 deri në vitin 2023, grupi përdori taktikën e përfshirjes kërcënuese të JavaScript në faqet e internetit legjitime të komprometuara. Kjo qasje synonte të mblidhte informacion të detajuar rreth vizitorëve, duke përfshirë vendndodhjen e tyre, detajet e pajisjes dhe kohën e vizitave të tyre.

Objektivat specifike të këtyre ndërhyrjeve ishin sektorët detarë, detarë dhe logjistikë në rajonin e Mesdheut. Në disa raste, këto sulme çuan në vendosjen e IMAPLoader-it si një ngarkesë pasuese, veçanërisht kur viktima konsiderohej një objektiv me vlerë të lartë.

Malware IMAPLoader është një komponent thelbësor në një zinxhir sulmi me shumë faza

IMAPLoader thuhet se është një zëvendësim për një implant IMAP të bazuar në Python, Tortoiseshell, i përdorur më parë në fund të 2021 dhe fillim të 2022, për shkak të ngjashmërive në funksionalitet. Malware vepron si një shkarkues për ngarkesat e fazës së ardhshme duke kërkuar llogaritë e postës elektronike IMAP të koduara të forta, veçanërisht duke kontrolluar një dosje të kutisë postare të shkruar gabimisht si 'Recive' për të tërhequr ekzekutuesit nga bashkëngjitjet e mesazhit.

Në një zinxhir sulmi alternativ, një dokument mashtrimi i Microsoft Excel përdoret si një vektor fillestar për të nisur një proces me shumë faza për të ofruar dhe ekzekutuar IMAPLoader, duke treguar se aktori i kërcënimit po përdor taktika dhe teknika të shumta për të realizuar qëllimet e tij strategjike.

Studiuesit kanë zbuluar gjithashtu faqe phishing të krijuara nga Tortoiseshell, disa prej të cilave synojnë sektorët e udhëtimit dhe mikpritjes brenda Evropës, për të kryer mbledhjen e kredencialeve duke përdorur faqe të rreme të hyrjes në Microsoft.

Ky aktor kërcënimi mbetet një kërcënim aktiv dhe i vazhdueshëm për shumë industri dhe vende, duke përfshirë sektorët detarë, detarë dhe logjistik brenda Mesdheut; Industritë bërthamore, të hapësirës ajrore dhe të mbrojtjes në SHBA dhe Evropë dhe ofruesit e shërbimeve të menaxhuara nga TI në Lindjen e Mesme. përditësimet shpesh përfshijnë rregullime thelbësore për dobësitë që mund të shfrytëzohen nga kriminelët kibernetikë. Vleresimi i përditësimeve automatike është një mënyrë e përshtatshme për të siguruar që pajisja juaj të jetë e fortifikuar ndaj kërcënimeve në zhvillim.