IMAPLoader Kötü Amaçlı Yazılımı

İran'a bağlı siber tehdit grubu Tortoiseshell'in son zamanlarda su kuyusu saldırılarında yaşanan artışla bağlantısı var. Bu saldırılar, IMAPLoader olarak bilinen kötü amaçlı yazılım türünü açığa çıkarmayı amaçlıyor.

.NET kötü amaçlı yazılımı olarak sınıflandırılan IMAPLoader, yerel Windows araçları aracılığıyla hedef sistemlerin profilini çıkarma yeteneğine sahiptir. Birincil işlevi, ek kötü amaçlı yükler için indirici olarak hizmet etmektir. Kötü amaçlı yazılım, e-postayı Komuta ve Kontrol (C2, C&C) kanalı olarak kullanarak e-posta eklerinden alınan verileri yürütmesine olanak tanır. Ayrıca, yeni hizmetlerin konuşlandırılması yoluyla yürütmeyi başlatır.

Kaplumbağa Kabuğu Çok Sayıda Saldırı Kampanyasıyla Bağlantılı Bir Tehdit Aktörüdür

En az 2018'den beri faaliyet gösteren Tortoiseshell, kötü amaçlı yazılım dağıtımını kolaylaştırmak için web sitelerinin stratejik risklerini kullanma konusunda bir geçmişe sahip. 2023'ün başlarında araştırmacılar, grubun İsrail'deki nakliye, lojistik ve finansal hizmet şirketleriyle bağlantılı sekiz web sitesinin ihlalinden sorumlu olduğunu tespit etti.

Bu tehdit aktörünün İslam Devrim Muhafızları Ordusu (IRGC) ile bağlantısı bulunuyor. Kendisi, daha geniş siber güvenlik topluluğu tarafından Crimson Sandstorm (önceden Curium), Imperial Kitten, TA456 ve Yellow Liderc gibi çeşitli isimlerle tanınmaktadır.

Grup, 2022'den 2023'e kadar uzanan son saldırı dalgasında, tehdit edici JavaScript'i güvenliği ihlal edilmiş meşru web sitelerine yerleştirme taktiğini kullandı. Bu yaklaşım, ziyaretçiler hakkında konumlarını, cihaz ayrıntılarını ve ziyaretlerinin zamanlamasını kapsayan ayrıntılı bilgi toplamayı amaçlıyordu.

Bu saldırıların spesifik hedefleri Akdeniz bölgesindeki denizcilik, denizcilik ve lojistik sektörleriydi. Bazı durumlarda, bu saldırılar, özellikle kurbanın yüksek değerli bir hedef olarak kabul edildiği durumlarda, IMAPLoader'ın sonraki bir yük olarak konuşlandırılmasına yol açtı.

IMAPLoader Kötü Amaçlı Yazılımı Çok Aşamalı Saldırı Zincirinde Önemli Bir Bileşendir

IMAPLoader'ın, işlevsellikteki benzerlikler nedeniyle daha önce 2021 sonu ve 2022 başında kullanılan Python tabanlı IMAP implant Tortoiseshell'in yerine geçeceği söyleniyor. Kötü amaçlı yazılım, sabit kodlu IMAP e-posta hesaplarını sorgulayarak, özellikle mesaj eklerindeki yürütülebilir dosyaları almak için 'Recive' olarak yanlış yazılan bir posta kutusu klasörünü kontrol ederek sonraki aşamadaki yükler için indirici görevi görüyor.

Alternatif bir saldırı zincirinde, IMAPLoader'ı teslim etmek ve yürütmek için çok aşamalı bir süreci başlatmak üzere başlangıç vektörü olarak bir Microsoft Excel sahte belgesi kullanılır; bu da tehdit aktörünün stratejik hedeflerini gerçekleştirmek için çok sayıda taktik ve teknik kullandığını gösterir.

Araştırmacılar ayrıca, sahte Microsoft oturum açma sayfalarını kullanarak kimlik bilgileri toplamak amacıyla Tortoiseshell tarafından oluşturulan ve bazıları Avrupa'daki seyahat ve konaklama sektörlerini hedefleyen kimlik avı siteleri keşfettiler.

Bu tehdit aktörü, Akdeniz'deki denizcilik, denizcilik ve lojistik sektörleri de dahil olmak üzere birçok endüstri ve ülke için aktif ve kalıcı bir tehdit olmaya devam ediyor; ABD ve Avrupa'daki nükleer, havacılık ve savunma endüstrileri ile Orta Doğu'daki BT tarafından yönetilen hizmet sağlayıcılar. Güncellemeler genellikle siber suçlular tarafından kullanılabilecek güvenlik açıklarına yönelik önemli düzeltmeler içerir. Otomatik güncellemeleri doğrulamak, cihazınızın ortaya çıkan tehditlere karşı güçlendirildiğinden emin olmanın kullanışlı bir yoludur.