มัลแวร์ IMAPLoader

กลุ่มภัยคุกคามทางไซเบอร์ Tortoiseshell ซึ่งเชื่อมต่อกับอิหร่าน มีความเชื่อมโยงกับการโจมตีแบบ Water Hole ที่เพิ่มขึ้นเมื่อเร็วๆ นี้ การโจมตีเหล่านี้มีจุดมุ่งหมายเพื่อปล่อยมัลแวร์ที่เรียกว่า IMAPLoader

IMAPLoader ซึ่งจัดอยู่ในประเภทมัลแวร์ .NET มีความสามารถในการสร้างโปรไฟล์ระบบเป้าหมายผ่านเครื่องมือ Windows ดั้งเดิม หน้าที่หลักของมันคือทำหน้าที่เป็นตัวดาวน์โหลดสำหรับเพย์โหลดที่เป็นอันตรายเพิ่มเติม มัลแวร์ใช้อีเมลเป็นช่องทาง Command-and-Control (C2, C&C) ทำให้สามารถดำเนินการเพย์โหลดที่ดึงมาจากไฟล์แนบอีเมลได้ นอกจากนี้ยังเริ่มต้นการดำเนินการผ่านการปรับใช้บริการใหม่ๆ

Tortoiseshell เป็นตัวแสดงภัยคุกคามที่เกี่ยวข้องกับแคมเปญการโจมตีมากมาย

Tortoiseshell ดำเนินงานมาตั้งแต่ปี 2018 เป็นอย่างน้อย มีประวัติในการใช้การประนีประนอมเชิงกลยุทธ์ของเว็บไซต์เพื่ออำนวยความสะดวกในการกระจายมัลแวร์ ในช่วงต้นปี 2023 นักวิจัยระบุว่ากลุ่มนี้เป็นผู้รับผิดชอบในการละเมิดเว็บไซต์ 8 แห่งที่เชื่อมโยงกับบริษัทขนส่ง โลจิสติกส์ และบริการทางการเงินในอิสราเอล

ผู้คุกคามรายนี้มีความเกี่ยวข้องกับกองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC) เขาได้รับการยอมรับจากชุมชนความปลอดภัยทางไซเบอร์ในวงกว้างด้วยชื่อต่างๆ มากมาย รวมถึง Crimson Sandstorm (เดิมคือ Curium), Imperial Kitty, TA456 และ Yellow Liderc

ในการโจมตีระลอกล่าสุดในช่วงปี 2022 ถึง 2023 กลุ่มได้ใช้กลยุทธ์ในการฝัง JavaScript ที่เป็นอันตรายลงในเว็บไซต์ที่ถูกกฎหมายที่ถูกบุกรุก แนวทางนี้มีวัตถุประสงค์เพื่อรวบรวมข้อมูลโดยละเอียดเกี่ยวกับผู้เยี่ยมชม โดยครอบคลุมสถานที่ รายละเอียดอุปกรณ์ และเวลาในการเยี่ยมชม

เป้าหมายเฉพาะของการบุกรุกเหล่านี้คือภาคการเดินเรือ การขนส่ง และโลจิสติกส์ในภูมิภาคเมดิเตอร์เรเนียน ในบางกรณี การโจมตีเหล่านี้นำไปสู่การปรับใช้ IMAPLoader เป็นเพย์โหลดตามมา โดยเฉพาะอย่างยิ่งเมื่อเหยื่อถูกมองว่าเป็นเป้าหมายที่มีมูลค่าสูง

มัลแวร์ IMAPLoader เป็นองค์ประกอบสำคัญในห่วงโซ่การโจมตีแบบหลายขั้นตอน

กล่าวกันว่า IMAPLoader มาแทนที่ Tortoiseshell เทียม IMAP ที่ใช้ Python ซึ่งก่อนหน้านี้เคยใช้ในช่วงปลายปี 2021 และต้นปี 2022 เนื่องจากมีความคล้ายคลึงกันในฟังก์ชันการทำงาน มัลแวร์ทำหน้าที่เป็นตัวดาวน์โหลดสำหรับเพย์โหลดขั้นต่อไปโดยการสืบค้นบัญชีอีเมล IMAP แบบฮาร์ดโค้ด โดยเฉพาะการตรวจสอบโฟลเดอร์กล่องจดหมายที่สะกดผิดเป็น 'รับ' เพื่อดึงข้อมูลปฏิบัติการจากไฟล์แนบของข้อความ

ในห่วงโซ่การโจมตีทางเลือก เอกสารล่อ Microsoft Excel ถูกใช้เป็นเวกเตอร์เริ่มต้นเพื่อเริ่มต้นกระบวนการแบบหลายขั้นตอนเพื่อส่งมอบและดำเนินการ IMAPLoader ซึ่งบ่งชี้ว่าผู้คุกคามกำลังใช้กลยุทธ์และเทคนิคมากมายเพื่อบรรลุเป้าหมายเชิงกลยุทธ์

นักวิจัยยังได้ค้นพบไซต์ฟิชชิ่งที่สร้างโดย Tortoiseshell ซึ่งบางไซต์มุ่งเป้าไปที่ภาคการท่องเที่ยวและการบริการภายในยุโรป เพื่อดำเนินการเก็บเกี่ยวข้อมูลประจำตัวโดยใช้หน้าลงชื่อเข้าใช้ Microsoft ปลอม

ตัวแสดงภัยคุกคามนี้ยังคงเป็นภัยคุกคามที่แข็งขันและต่อเนื่องต่อหลายอุตสาหกรรมและประเทศ รวมถึงภาคการเดินเรือ การขนส่ง และโลจิสติกส์ภายในทะเลเมดิเตอร์เรเนียน อุตสาหกรรมนิวเคลียร์ การบินและอวกาศ และการป้องกันในสหรัฐอเมริกาและยุโรป รวมถึงผู้ให้บริการที่จัดการด้านไอทีในตะวันออกกลาง การอัปเดตมักมีการแก้ไขที่สำคัญสำหรับช่องโหว่ที่อาชญากรไซเบอร์อาจนำไปใช้ประโยชน์ได้ การตรวจสอบการอัปเดตอัตโนมัติเป็นวิธีที่สะดวกเพื่อให้แน่ใจว่าอุปกรณ์ของคุณได้รับการเสริมความแข็งแกร่งจากภัยคุกคามที่เกิดขึ้นใหม่