IMAPLలోడర్ మాల్వేర్

ఇరాన్‌తో అనుసంధానించబడిన సైబర్ థ్రెట్ గ్రూప్ టార్టాయిస్‌షెల్ ఇటీవల నీటి గొయ్యి దాడులతో ముడిపడి ఉంది. ఈ దాడులు IMAPLoader అని పిలవబడే మాల్వేర్ స్ట్రెయిన్‌ను విడుదల చేయడాన్ని లక్ష్యంగా పెట్టుకున్నాయి.

IMAPLoader, .NET మాల్వేర్‌గా వర్గీకరించబడింది, స్థానిక Windows సాధనాల ద్వారా లక్ష్య సిస్టమ్‌లను ప్రొఫైల్ చేసే సామర్థ్యాన్ని కలిగి ఉంటుంది. అదనపు హానికరమైన పేలోడ్‌ల కోసం డౌన్‌లోడ్‌గా పనిచేయడం దీని ప్రాథమిక విధి. మాల్వేర్ ఇమెయిల్‌ను కమాండ్-అండ్-కంట్రోల్ (C2, C&C) ఛానెల్‌గా ఉపయోగిస్తుంది, ఇది ఇమెయిల్ జోడింపుల నుండి తిరిగి పొందిన పేలోడ్‌లను అమలు చేయడానికి వీలు కల్పిస్తుంది. ఇంకా, ఇది కొత్త సేవల విస్తరణ ద్వారా అమలును ప్రారంభిస్తుంది.

తాబేలు షెల్ అనేక దాడి ప్రచారాలతో సంబంధం ఉన్న ఒక బెదిరింపు నటుడు

కనీసం 2018 నుండి పనిచేస్తోంది, మాల్వేర్ పంపిణీని సులభతరం చేయడానికి వెబ్‌సైట్‌ల యొక్క వ్యూహాత్మక రాజీలను ఉపయోగించిన టార్టాయిషెల్ ట్రాక్ రికార్డ్‌ను కలిగి ఉంది. 2023 ప్రారంభంలో, ఇజ్రాయెల్‌లోని షిప్పింగ్, లాజిస్టిక్స్ మరియు ఫైనాన్షియల్ సర్వీసెస్ కంపెనీలకు లింక్ చేయబడిన ఎనిమిది వెబ్‌సైట్‌లను ఉల్లంఘించినందుకు ఈ గుంపు బాధ్యత వహిస్తుందని పరిశోధకులు గుర్తించారు.

ఈ బెదిరింపు నటుడు ఇస్లామిక్ రివల్యూషనరీ గార్డ్ కార్ప్స్ (IRGC)తో సంబంధం కలిగి ఉన్నాడు. అతను క్రిమ్సన్ సాండ్‌స్టార్మ్ (గతంలో క్యూరియం), ఇంపీరియల్ కిట్టెన్, TA456 మరియు ఎల్లో లిడెర్క్‌తో సహా పలు పేర్లతో విస్తృత సైబర్‌ సెక్యూరిటీ కమ్యూనిటీచే గుర్తించబడ్డాడు.

2022 నుండి 2023 వరకు విస్తరించిన ఇటీవలి దాడులలో, సమూహం బెదిరింపు జావాస్క్రిప్ట్‌ను రాజీపడిన చట్టబద్ధమైన వెబ్‌సైట్‌లలో పొందుపరిచే వ్యూహాన్ని ఉపయోగించుకుంది. ఈ విధానం సందర్శకుల గురించి వివరణాత్మక సమాచారాన్ని సేకరించడం, వారి స్థానం, పరికర వివరాలు మరియు వారి సందర్శనల సమయాన్ని కలిగి ఉంటుంది.

ఈ చొరబాట్ల యొక్క నిర్దిష్ట లక్ష్యాలు మెడిటరేనియన్ ప్రాంతంలోని సముద్ర, షిప్పింగ్ మరియు లాజిస్టిక్స్ రంగాలు. కొన్ని సందర్భాల్లో, ఈ దాడులు IMAPLoaderని తదుపరి పేలోడ్‌గా అమలు చేయడానికి దారితీశాయి, ప్రత్యేకించి బాధితుడు అధిక-విలువ లక్ష్యంగా భావించినప్పుడు.

IMAPLoader మాల్వేర్ అనేది బహుళ-దశల దాడి గొలుసులో ఒక ముఖ్యమైన భాగం

IMAPLoader అనేది మునుపు 2021 చివరిలో మరియు 2022 ప్రారంభంలో ఉపయోగించిన పైథాన్-ఆధారిత IMAP ఇంప్లాంట్ టార్టాయిస్‌షెల్‌కు ప్రత్యామ్నాయంగా చెప్పబడింది, కార్యాచరణలో సారూప్యతలు ఉన్నాయి. మాల్వేర్ హార్డ్-కోడెడ్ IMAP ఇమెయిల్ ఖాతాలను ప్రశ్నించడం ద్వారా తదుపరి-దశ పేలోడ్‌ల కోసం డౌన్‌లోడ్‌గా పనిచేస్తుంది, ప్రత్యేకంగా సందేశ జోడింపుల నుండి ఎక్జిక్యూటబుల్‌లను తిరిగి పొందడానికి 'రిసీవ్' అని తప్పుగా వ్రాయబడిన మెయిల్‌బాక్స్ ఫోల్డర్‌ను తనిఖీ చేస్తుంది.

ప్రత్యామ్నాయ దాడి గొలుసులో, మైక్రోసాఫ్ట్ ఎక్సెల్ డికాయ్ డాక్యుమెంట్ IMAPLoaderని డెలివరీ చేయడానికి మరియు అమలు చేయడానికి బహుళ-దశల ప్రక్రియను కిక్-స్టార్ట్ చేయడానికి ప్రారంభ వెక్టర్‌గా ఉపయోగించబడుతుంది, ఇది ముప్పు నటుడు దాని వ్యూహాత్మక లక్ష్యాలను సాధించడానికి అనేక వ్యూహాలు మరియు సాంకేతికతలను ఉపయోగిస్తున్నట్లు సూచిస్తుంది.

టార్టాయిషెల్ రూపొందించిన ఫిషింగ్ సైట్‌లను కూడా పరిశోధకులు కనుగొన్నారు, వీటిలో కొన్ని యూరప్‌లోని ట్రావెల్ మరియు హాస్పిటాలిటీ రంగాలను లక్ష్యంగా చేసుకుని, నకిలీ మైక్రోసాఫ్ట్ సైన్-ఇన్ పేజీలను ఉపయోగించి ఆధారాల సేకరణను నిర్వహించాయి.

ఈ ముప్పు నటుడు మధ్యధరా సముద్రంలోని సముద్ర, షిప్పింగ్ మరియు లాజిస్టిక్స్ రంగాలతో సహా అనేక పరిశ్రమలు మరియు దేశాలకు చురుకైన మరియు నిరంతర ముప్పుగా మిగిలిపోయాడు; US మరియు యూరప్‌లోని అణు, అంతరిక్ష మరియు రక్షణ పరిశ్రమలు మరియు మధ్యప్రాచ్యంలోని IT-నిర్వహించబడే సర్వీస్ ప్రొవైడర్లు.ఈ నవీకరణలు తరచుగా సైబర్ నేరగాళ్లచే ఉపయోగించబడే దుర్బలత్వాలకు కీలకమైన పరిష్కారాలను కలిగి ఉంటాయి. ఉద్భవిస్తున్న బెదిరింపుల నుండి మీ పరికరం పటిష్టంగా ఉందని నిర్ధారించుకోవడానికి ఆటోమేటిక్ అప్‌డేట్‌లను ధృవీకరించడం ఒక అనుకూలమైన మార్గం.