Phần mềm độc hại IMAPLoader

Nhóm đe dọa mạng Tortoiseshell, có liên hệ với Iran, có liên quan đến sự gia tăng các cuộc tấn công Water Hole gần đây. Các cuộc tấn công này nhằm mục đích giải phóng một loại phần mềm độc hại được gọi là IMAPLoader.

IMAPLoader, được phân loại là phần mềm độc hại .NET, có khả năng lập hồ sơ các hệ thống mục tiêu thông qua các công cụ Windows gốc. Chức năng chính của nó là đóng vai trò là trình tải xuống các tải trọng độc hại bổ sung. Phần mềm độc hại sử dụng email làm kênh Lệnh và Kiểm soát (C2, C&C), cho phép nó thực thi các tải trọng được lấy từ các tệp đính kèm email. Hơn nữa, nó bắt đầu thực hiện thông qua việc triển khai các dịch vụ mới.

Tortoiseshell là tác nhân đe dọa liên quan đến nhiều chiến dịch tấn công

Hoạt động ít nhất từ năm 2018, Tortoiseshell có thành tích về việc sử dụng các thỏa hiệp chiến lược của các trang web để tạo điều kiện phát tán phần mềm độc hại. Vào đầu năm 2023, các nhà nghiên cứu đã xác định nhóm này chịu trách nhiệm vi phạm 8 trang web liên quan đến các công ty vận chuyển, hậu cần và dịch vụ tài chính ở Israel.

Tác nhân đe dọa này có liên quan đến Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC). Anh được cộng đồng an ninh mạng rộng lớn hơn công nhận với nhiều cái tên khác nhau, bao gồm Crimson Sandstorm (trước đây là Curium), Imperial Kitten, TA456 và Yellow Liderc.

Trong làn sóng tấn công gần đây kéo dài từ năm 2022 đến 2023, nhóm này đã sử dụng chiến thuật nhúng JavaScript đe dọa vào các trang web hợp pháp bị xâm nhập. Cách tiếp cận này nhằm mục đích thu thập thông tin chi tiết về khách truy cập, bao gồm vị trí, chi tiết thiết bị và thời gian họ ghé thăm.

Mục tiêu cụ thể của những cuộc xâm nhập này là lĩnh vực hàng hải, vận tải biển và hậu cần ở khu vực Địa Trung Hải. Trong một số trường hợp nhất định, các cuộc tấn công này đã dẫn đến việc triển khai IMAPLoader làm tải trọng tiếp theo, đặc biệt khi nạn nhân được coi là mục tiêu có giá trị cao.

Phần mềm độc hại IMAPLoader là một thành phần thiết yếu trong Chuỗi tấn công nhiều giai đoạn

IMAPLoader được cho là sự thay thế cho bộ cấy IMAP dựa trên Python Tortoiseshell được sử dụng trước đây vào cuối năm 2021 và đầu năm 2022, do có những điểm tương đồng về chức năng. Phần mềm độc hại hoạt động như một trình tải xuống các tải trọng giai đoạn tiếp theo bằng cách truy vấn các tài khoản email IMAP được mã hóa cứng, đặc biệt là kiểm tra thư mục hộp thư viết sai chính tả là 'Recive' để truy xuất các tệp thực thi từ tệp đính kèm thư.

Trong chuỗi tấn công thay thế, tài liệu mồi nhử Microsoft Excel được sử dụng làm vectơ ban đầu để khởi động quy trình nhiều giai đoạn nhằm phân phối và thực thi IMAPLoader, cho thấy tác nhân đe dọa đang sử dụng nhiều chiến thuật và kỹ thuật để hiện thực hóa các mục tiêu chiến lược của mình.

Các nhà nghiên cứu cũng đã phát hiện ra các trang web lừa đảo do Tortoiseshell tạo ra, một số trong số đó nhắm vào lĩnh vực du lịch và khách sạn ở Châu Âu, để tiến hành thu thập thông tin xác thực bằng cách sử dụng các trang đăng nhập giả mạo của Microsoft.

Tác nhân đe dọa này vẫn là mối đe dọa tích cực và dai dẳng đối với nhiều ngành và quốc gia, bao gồm các lĩnh vực hàng hải, vận tải biển và hậu cần ở Địa Trung Hải; các ngành công nghiệp hạt nhân, hàng không vũ trụ và quốc phòng ở Hoa Kỳ và Châu Âu cũng như các nhà cung cấp dịch vụ do CNTT quản lý ở Trung Đông. Các bản cập nhật thường bao gồm các bản sửa lỗi quan trọng đối với các lỗ hổng có thể bị tội phạm mạng khai thác. Xác thực cập nhật tự động là một cách thuận tiện để đảm bảo rằng thiết bị của bạn được tăng cường chống lại các mối đe dọa mới nổi.