ИМАПЛоадер Малвер

Група за сајбер претње Тортоисесхелл, повезана са Ираном, повезана је са недавним порастом напада на воду. Ови напади имају за циљ ослобађање малвера познатог као ИМАПЛоадер.

ИМАПЛоадер, класификован као .НЕТ малвер, поседује могућност профилисања циљних система путем изворних Виндовс алата. Његова примарна функција је да служи као програм за преузимање додатних злонамерних садржаја. Злонамерни софтвер користи е-пошту као канал за команду и контролу (Ц2, Ц&Ц), омогућавајући му да изврши корисне податке преузете из прилога е-поште. Штавише, он покреће извршење кроз примену нових услуга.

Корњачевина је актер претње повезан са бројним кампањама напада

Радећи од најмање 2018. године, Тортоисесхелл има искуство у коришћењу стратешких компромиса веб локација како би олакшао дистрибуцију малвера. Почетком 2023. истраживачи су идентификовали групу као одговорну за пробијање осам веб локација повезаних са компанијама за транспорт, логистику и финансијске услуге у Израелу.

Овај актер претње повезан је са Корпусом гарде исламске револуције (ИРГЦ). Шира заједница сајбер безбедности га препознаје под разним именима, укључујући Цримсон Сандсторм (раније Цуриум), Империал Киттен, ТА456 и Иеллов Лидерц.

У недавном таласу напада од 2022. до 2023. године, група је користила тактику уграђивања претећег ЈаваСцрипт-а у компромитоване легитимне веб странице. Овај приступ је имао за циљ да прикупи детаљне информације о посетиоцима, укључујући њихову локацију, детаље о уређају и време посете.

Специфичне мете ових упада били су поморски, бродски и логистички сектори у региону Медитерана. У одређеним случајевима, ови напади су довели до постављања ИМАПЛоадер-а као накнадног терета, посебно када се жртва сматрала високо вредном метом.

ИМАПЛоадер малвер је суштинска компонента у вишестепеном ланцу напада

За ИМАПЛоадер се каже да је замена за Питхон базиран ИМАП имплант Тортоисесхелл који је раније коришћен крајем 2021. и почетком 2022. године, због сличности у функционалности. Злонамерни софтвер делује као програм за преузимање корисних података следеће фазе тако што испитује тврдо кодиране ИМАП налоге е-поште, посебно проверава фасциклу поштанског сандучета која је погрешно написана као „Рециве“ да би се преузели извршни фајлови из прилога поруке.

У алтернативном ланцу напада, лажни документ Мицрософт Екцел-а се користи као почетни вектор за покретање вишестепеног процеса за испоруку и извршавање ИМАПЛоадер-а, што указује да актер претње користи бројне тактике и технике да би остварио своје стратешке циљеве.

Истраживачи су такође открили сајтове за крађу идентитета које је креирао Тортоисесхелл, од којих су неке намењене сектору путовања и угоститељства у Европи, да би се извршила прикупљање акредитива користећи лажне Мицрософт странице за пријаву.

Овај актер претње остаје активна и упорна претња многим индустријама и земљама, укључујући поморство, поморство и логистику унутар Медитерана; нуклеарна, ваздухопловна и одбрамбена индустрија у САД и Европи и добављачи услуга којима управља ИТ на Блиском истоку. ажурирања често укључују кључне исправке за рањивости које би могли да искористе сајбер криминалци. Провера аутоматских ажурирања је згодан начин да се осигура да је ваш уређај заштићен од нових претњи.