Шкідливе програмне забезпечення IMAPLoader

Групу кіберзагроз Tortoiseshell, пов’язану з Іраном, пов’язують із нещодавнім сплеском атак на водопою. Ці атаки спрямовані на розв’язання зловмисного програмного забезпечення, відомого як IMAPLoader.

IMAPLoader, класифікований як зловмисне програмне забезпечення .NET, має можливість профілювати цільові системи за допомогою власних інструментів Windows. Його основна функція полягає в тому, щоб служити завантажувачем для додаткових шкідливих корисних навантажень. Зловмисне програмне забезпечення використовує електронну пошту як канал керування (C2, C&C), що дозволяє виконувати корисні дані, отримані з вкладень електронної пошти. Крім того, він ініціює виконання через розгортання нових послуг.

Черепаховий панцир є загрозливим актором, пов’язаним із численними атаками

Працюючи принаймні з 2018 року, Tortoiseshell має досвід використання стратегічних компрометацій веб-сайтів для сприяння розповсюдженню зловмисного програмного забезпечення. На початку 2023 року дослідники визнали групу відповідальною за взлом восьми веб-сайтів, пов’язаних із компаніями з доставки, логістики та фінансових послуг в Ізраїлі.

Ця загроза пов'язана з Корпусом вартових ісламської революції (КВІР). Спільнота кібербезпеки впізнає його під різними іменами, зокрема Crimson Sandstorm (раніше Curium), Imperial Kitten, TA456 і Yellow Liderc.

Під час недавньої хвилі атак, яка охопила 2022–2023 роки, група використовувала тактику вбудовування загрозливого JavaScript у зламані законні веб-сайти. Цей підхід мав на меті зібрати детальну інформацію про відвідувачів, включно з їхнім місцем розташування, деталями пристрою та часом їхніх візитів.

Конкретними цілями цих вторгнень були морський, судноплавний і логістичний сектори в Середземноморському регіоні. У деяких випадках ці атаки призводили до розгортання IMAPLoader як наступного корисного навантаження, особливо коли жертва вважалася ціллю високої цінності.

Зловмисне програмне забезпечення IMAPLoader є важливим компонентом багатоетапної ланцюга атак

Кажуть, що IMAPLoader є заміною імплантату IMAP на основі Python Tortoiseshell, який раніше використовувався наприкінці 2021 року та на початку 2022 року, через схожість у функціональності. Зловмисне програмне забезпечення діє як завантажувач для корисних навантажень наступного етапу, надсилаючи запити на жорстко закодовані облікові записи електронної пошти IMAP, зокрема перевіряючи папку поштової скриньки з помилкою «Отримати», щоб отримати виконувані файли з вкладених файлів повідомлення.

В альтернативному ланцюжку атак документ-приманка Microsoft Excel використовується як початковий вектор для запуску багатоетапного процесу для доставки та виконання IMAPLoader, що вказує на те, що суб’єкт загрози використовує численні тактики та прийоми для реалізації своїх стратегічних цілей.

Дослідники також виявили фішингові сайти, створені Tortoiseshell, деякі з яких орієнтовані на сектори подорожей і гостинності в Європі, для збирання облікових даних за допомогою підроблених сторінок входу Microsoft.

Цей суб’єкт загрози залишається активною та постійною загрозою для багатьох галузей промисловості та країн, у тому числі для морського транспорту, судноплавства та логістики в Середземномор’ї; ядерної, аерокосмічної та оборонної промисловості в США та Європі та постачальників ІТ-послуг на Близькому Сході. оновлення часто містять важливі виправлення вразливостей, якими можуть скористатися кіберзлочинці. Перевірка автоматичних оновлень – це зручний спосіб переконатися, що ваш пристрій захищено від нових загроз.