IMAPLoader Malware

Ang cyber threat group na Tortoiseshell, na konektado sa Iran, ay na-link sa kamakailang pag-atake sa watering hole attacks. Ang mga pag-atake na ito ay naglalayong ilabas ang isang malware strain na kilala bilang IMAPLoader.

Ang IMAPLoader, na inuri bilang isang .NET malware, ay nagtataglay ng kakayahang mag-profile ng mga target na system sa pamamagitan ng mga native na tool sa Windows. Ang pangunahing pag-andar nito ay magsilbi bilang isang downloader para sa karagdagang mga nakakahamak na payload. Gumagamit ang malware ng email bilang isang Command-and-Control (C2, C&C) na channel, na nagbibigay-daan dito na magsagawa ng mga payload na nakuha mula sa mga attachment ng email. Higit pa rito, sinisimulan nito ang pagpapatupad sa pamamagitan ng pag-deploy ng mga bagong serbisyo.

Ang Tortoiseshell ay isang Threat Actor na Kaugnay ng Maraming Attack Campaign

Nagpapatakbo mula noong hindi bababa sa 2018, ang Tortoiseshell ay may track record ng paggamit ng mga madiskarteng kompromiso ng mga website upang mapadali ang pamamahagi ng malware. Noong unang bahagi ng 2023, tinukoy ng mga mananaliksik ang grupo bilang responsable sa paglabag sa walong website na naka-link sa mga kumpanya sa pagpapadala, logistik, at serbisyong pinansyal sa Israel.

Ang banta na aktor na ito ay nauugnay sa Islamic Revolutionary Guard Corps (IRGC). Siya ay kinikilala ng mas malawak na komunidad ng cybersecurity sa iba't ibang pangalan, kabilang ang Crimson Sandstorm (dating Curium), Imperial Kitten, TA456 at Yellow Liderc.

Sa kamakailang alon ng mga pag-atake mula 2022 hanggang 2023, ginamit ng grupo ang taktika ng pag-embed ng nagbabantang JavaScript sa mga nakompromisong lehitimong website. Ang diskarte na ito ay naglalayong mangalap ng detalyadong impormasyon tungkol sa mga bisita, na sumasaklaw sa kanilang lokasyon, mga detalye ng device at ang tiyempo ng kanilang mga pagbisita.

Ang mga partikular na target ng mga panghihimasok na ito ay ang maritime, shipping, at logistics sector sa rehiyon ng Mediterranean. Sa ilang partikular na pagkakataon, ang mga pag-atakeng ito ay humantong sa pag-deploy ng IMAPLoader bilang isang kasunod na payload, lalo na kapag ang biktima ay itinuring na isang high-value target.

Ang IMAPLoader Malware ay isang Mahalagang Bahagi sa isang Multi-Stage Attack Chain

Sinasabing ang IMAPLoader ay isang kapalit para sa isang Python-based na IMAP implant Tortoiseshell na dating ginamit noong huling bahagi ng 2021 at unang bahagi ng 2022, dahil sa mga pagkakatulad sa functionality. Ang malware ay gumaganap bilang isang downloader para sa mga susunod na yugto ng mga payload sa pamamagitan ng pag-query ng hard-coded na IMAP na mga email account, partikular na pagsuri sa isang mailbox folder na mali ang spelling bilang 'Recive' upang makuha ang mga executable mula sa mga attachment ng mensahe.

Sa isang kahaliling chain ng pag-atake, ang isang Microsoft Excel decoy na dokumento ay ginagamit bilang isang paunang vector upang simulan ang isang multi-stage na proseso upang maihatid at maisakatuparan ang IMAPLoader, na nagpapahiwatig na ang aktor ng pagbabanta ay gumagamit ng maraming mga taktika at diskarte upang maisakatuparan ang mga madiskarteng layunin nito.

Natuklasan din ng mga mananaliksik ang mga phishing site na ginawa ng Tortoiseshell, ang ilan sa mga ito ay naglalayong sa mga sektor ng paglalakbay at hospitality sa loob ng Europe, upang magsagawa ng pag-aani ng kredensyal gamit ang mga pekeng pahina ng pag-sign-in sa Microsoft.

Ang aktor ng banta na ito ay nananatiling aktibo at patuloy na banta sa maraming industriya at bansa, kabilang ang mga sektor ng maritime, shipping, at logistik sa loob ng Mediterranean; nuclear, aerospace, at defense na industriya sa US at Europe at IT-managed service providers sa Middle East.ay kadalasang kasama sa mga update ang mahahalagang pag-aayos para sa mga kahinaan na maaaring pagsamantalahan ng mga cybercriminal. Ang pagpapatunay ng mga awtomatikong pag-update ay isang maginhawang paraan upang matiyak na ang iyong device ay pinatibay laban sa mga umuusbong na banta.