IMAPLoader skadlig programvara

Cyberhotgruppen Tortoiseshell, kopplad till Iran, har kopplats till en nyligen ökad ökning av vattenhålsattacker. Dessa attacker syftar till att släppa lös en skadlig kod som kallas IMAPLoader.

IMAPLoader, klassad som en .NET skadlig kod, har förmågan att profilera målsystem genom inbyggda Windows-verktyg. Dess primära funktion är att fungera som en nedladdare för ytterligare skadliga nyttolaster. Skadlig programvara använder e-post som en Command-and-Control-kanal (C2, C&C), vilket gör att den kan köra nyttolaster som hämtas från e-postbilagor. Dessutom initierar det exekvering genom utplacering av nya tjänster.

Tortoiseshell är en hotskådespelare förknippad med många attackkampanjer

Tortoiseshell har varit verksamt sedan åtminstone 2018 och har en erfarenhet av att använda strategiska kompromisser av webbplatser för att underlätta distribution av skadlig programvara. I början av 2023 identifierade forskare gruppen som ansvarig för intrång i åtta webbplatser kopplade till frakt-, logistik- och finansiella tjänsteföretag i Israel.

Denna hotaktör är associerad med Islamic Revolutionary Guard Corps (IRGC). Han är erkänd av den bredare cybersäkerhetsgemenskapen av olika namn, inklusive Crimson Sandstorm (tidigare Curium), Imperial Kitten, TA456 och Yellow Liderc.

Under den senaste vågen av attacker som sträckte sig från 2022 till 2023, använde gruppen taktiken att bädda in hotande JavaScript i komprometterade legitima webbplatser. Detta tillvägagångssätt syftade till att samla in detaljerad information om besökare, inklusive deras plats, enhetsdetaljer och tidpunkten för deras besök.

De specifika målen för dessa intrång var sjöfarts-, sjöfarts- och logistiksektorerna i Medelhavsområdet. I vissa fall ledde dessa attacker till utplaceringen av IMAPLoader som en efterföljande nyttolast, särskilt när offret ansågs vara ett högvärdigt mål.

IMAPLoader Malware är en viktig komponent i en attackkedja i flera steg

IMAPLoader sägs vara en ersättning för ett Python-baserat IMAP-implantat Tortoiseshell som tidigare användes i slutet av 2021 och början av 2022, på grund av likheterna i funktionaliteten. Skadlig programvara fungerar som en nedladdningsare för nästa stegs nyttolaster genom att söka efter hårdkodade IMAP-e-postkonton, särskilt kontrollera en postlådemapp felstavad som "Recive" för att hämta de körbara filerna från meddelandebilagor.

I en alternativ attackkedja används ett Microsoft Excel-lockdokument som en initial vektor för att kickstarta en flerstegsprocess för att leverera och exekvera IMAPLoader, vilket indikerar att hotaktören använder många taktiker och tekniker för att förverkliga sina strategiska mål.

Forskare har också upptäckt nätfiskewebbplatser som skapats av Tortoiseshell, av vilka några är inriktade på rese- och besökssektorerna inom Europa, för att kunna samla in autentiseringsuppgifter med hjälp av falska Microsoft-inloggningssidor.

Denna hotaktör förblir ett aktivt och ihållande hot mot många industrier och länder, inklusive sjöfarts-, sjöfarts- och logistiksektorerna inom Medelhavet; kärnkrafts-, flyg- och försvarsindustrin i USA och Europa och IT-hanterade tjänsteleverantörer i Mellanöstern.are-uppdateringar innehåller ofta avgörande korrigeringar för sårbarheter som kan utnyttjas av cyberbrottslingar. Att validera automatiska uppdateringar är ett bekvämt sätt att säkerställa att din enhet är stärkt mot nya hot.