IMAPLలోడర్ మాల్వేర్
ఇరాన్తో అనుసంధానించబడిన సైబర్ థ్రెట్ గ్రూప్ టార్టాయిస్షెల్ ఇటీవల నీటి గొయ్యి దాడులతో ముడిపడి ఉంది. ఈ దాడులు IMAPLoader అని పిలవబడే మాల్వేర్ స్ట్రెయిన్ను విడుదల చేయడాన్ని లక్ష్యంగా పెట్టుకున్నాయి.
IMAPLoader, .NET మాల్వేర్గా వర్గీకరించబడింది, స్థానిక Windows సాధనాల ద్వారా లక్ష్య సిస్టమ్లను ప్రొఫైల్ చేసే సామర్థ్యాన్ని కలిగి ఉంటుంది. అదనపు హానికరమైన పేలోడ్ల కోసం డౌన్లోడ్గా పనిచేయడం దీని ప్రాథమిక విధి. మాల్వేర్ ఇమెయిల్ను కమాండ్-అండ్-కంట్రోల్ (C2, C&C) ఛానెల్గా ఉపయోగిస్తుంది, ఇది ఇమెయిల్ జోడింపుల నుండి తిరిగి పొందిన పేలోడ్లను అమలు చేయడానికి వీలు కల్పిస్తుంది. ఇంకా, ఇది కొత్త సేవల విస్తరణ ద్వారా అమలును ప్రారంభిస్తుంది.
తాబేలు షెల్ అనేక దాడి ప్రచారాలతో సంబంధం ఉన్న ఒక బెదిరింపు నటుడు
కనీసం 2018 నుండి పనిచేస్తోంది, మాల్వేర్ పంపిణీని సులభతరం చేయడానికి వెబ్సైట్ల యొక్క వ్యూహాత్మక రాజీలను ఉపయోగించిన టార్టాయిషెల్ ట్రాక్ రికార్డ్ను కలిగి ఉంది. 2023 ప్రారంభంలో, ఇజ్రాయెల్లోని షిప్పింగ్, లాజిస్టిక్స్ మరియు ఫైనాన్షియల్ సర్వీసెస్ కంపెనీలకు లింక్ చేయబడిన ఎనిమిది వెబ్సైట్లను ఉల్లంఘించినందుకు ఈ గుంపు బాధ్యత వహిస్తుందని పరిశోధకులు గుర్తించారు.
ఈ బెదిరింపు నటుడు ఇస్లామిక్ రివల్యూషనరీ గార్డ్ కార్ప్స్ (IRGC)తో సంబంధం కలిగి ఉన్నాడు. అతను క్రిమ్సన్ సాండ్స్టార్మ్ (గతంలో క్యూరియం), ఇంపీరియల్ కిట్టెన్, TA456 మరియు ఎల్లో లిడెర్క్తో సహా పలు పేర్లతో విస్తృత సైబర్ సెక్యూరిటీ కమ్యూనిటీచే గుర్తించబడ్డాడు.
2022 నుండి 2023 వరకు విస్తరించిన ఇటీవలి దాడులలో, సమూహం బెదిరింపు జావాస్క్రిప్ట్ను రాజీపడిన చట్టబద్ధమైన వెబ్సైట్లలో పొందుపరిచే వ్యూహాన్ని ఉపయోగించుకుంది. ఈ విధానం సందర్శకుల గురించి వివరణాత్మక సమాచారాన్ని సేకరించడం, వారి స్థానం, పరికర వివరాలు మరియు వారి సందర్శనల సమయాన్ని కలిగి ఉంటుంది.
ఈ చొరబాట్ల యొక్క నిర్దిష్ట లక్ష్యాలు మెడిటరేనియన్ ప్రాంతంలోని సముద్ర, షిప్పింగ్ మరియు లాజిస్టిక్స్ రంగాలు. కొన్ని సందర్భాల్లో, ఈ దాడులు IMAPLoaderని తదుపరి పేలోడ్గా అమలు చేయడానికి దారితీశాయి, ప్రత్యేకించి బాధితుడు అధిక-విలువ లక్ష్యంగా భావించినప్పుడు.
IMAPLoader మాల్వేర్ అనేది బహుళ-దశల దాడి గొలుసులో ఒక ముఖ్యమైన భాగం
IMAPLoader అనేది మునుపు 2021 చివరిలో మరియు 2022 ప్రారంభంలో ఉపయోగించిన పైథాన్-ఆధారిత IMAP ఇంప్లాంట్ టార్టాయిస్షెల్కు ప్రత్యామ్నాయంగా చెప్పబడింది, కార్యాచరణలో సారూప్యతలు ఉన్నాయి. మాల్వేర్ హార్డ్-కోడెడ్ IMAP ఇమెయిల్ ఖాతాలను ప్రశ్నించడం ద్వారా తదుపరి-దశ పేలోడ్ల కోసం డౌన్లోడ్గా పనిచేస్తుంది, ప్రత్యేకంగా సందేశ జోడింపుల నుండి ఎక్జిక్యూటబుల్లను తిరిగి పొందడానికి 'రిసీవ్' అని తప్పుగా వ్రాయబడిన మెయిల్బాక్స్ ఫోల్డర్ను తనిఖీ చేస్తుంది.
ప్రత్యామ్నాయ దాడి గొలుసులో, మైక్రోసాఫ్ట్ ఎక్సెల్ డికాయ్ డాక్యుమెంట్ IMAPLoaderని డెలివరీ చేయడానికి మరియు అమలు చేయడానికి బహుళ-దశల ప్రక్రియను కిక్-స్టార్ట్ చేయడానికి ప్రారంభ వెక్టర్గా ఉపయోగించబడుతుంది, ఇది ముప్పు నటుడు దాని వ్యూహాత్మక లక్ష్యాలను సాధించడానికి అనేక వ్యూహాలు మరియు సాంకేతికతలను ఉపయోగిస్తున్నట్లు సూచిస్తుంది.
టార్టాయిషెల్ రూపొందించిన ఫిషింగ్ సైట్లను కూడా పరిశోధకులు కనుగొన్నారు, వీటిలో కొన్ని యూరప్లోని ట్రావెల్ మరియు హాస్పిటాలిటీ రంగాలను లక్ష్యంగా చేసుకుని, నకిలీ మైక్రోసాఫ్ట్ సైన్-ఇన్ పేజీలను ఉపయోగించి ఆధారాల సేకరణను నిర్వహించాయి.
ఈ ముప్పు నటుడు మధ్యధరా సముద్రంలోని సముద్ర, షిప్పింగ్ మరియు లాజిస్టిక్స్ రంగాలతో సహా అనేక పరిశ్రమలు మరియు దేశాలకు చురుకైన మరియు నిరంతర ముప్పుగా మిగిలిపోయాడు; US మరియు యూరప్లోని అణు, అంతరిక్ష మరియు రక్షణ పరిశ్రమలు మరియు మధ్యప్రాచ్యంలోని IT-నిర్వహించబడే సర్వీస్ ప్రొవైడర్లు.ఈ నవీకరణలు తరచుగా సైబర్ నేరగాళ్లచే ఉపయోగించబడే దుర్బలత్వాలకు కీలకమైన పరిష్కారాలను కలిగి ఉంటాయి. ఉద్భవిస్తున్న బెదిరింపుల నుండి మీ పరికరం పటిష్టంగా ఉందని నిర్ధారించుకోవడానికి ఆటోమేటిక్ అప్డేట్లను ధృవీకరించడం ఒక అనుకూలమైన మార్గం.