IMAPLoader 恶意软件

与伊朗有联系的网络威胁组织 Tortoiseshell 与最近激增的水坑攻击有关。这些攻击旨在释放一种名为 IMAPLoader 的恶意软件。

IMAPLoader 被归类为 .NET 恶意软件，能够通过本机 Windows 工具分析目标系统。其主要功能是充当其他恶意负载的下载器。该恶意软件利用电子邮件作为命令与控制（C2、C&C）通道，使其能够执行从电子邮件附件中检索到的有效负载。此外，它通过部署新服务来启动执行。

Tortoiseshell 是与众多攻击活动相关的威胁行为者

Tortoiseshell 至少从 2018 年开始运营，拥有利用网站战略妥协来促进恶意软件传播的记录。 2023 年初，研究人员确定该组织破坏了与以色列航运、物流和金融服务公司相关的 8 个网站。

该威胁行为者与伊斯兰革命卫队 (IRGC) 有关联。他以各种名字受到更广泛的网络安全社区的认可，包括 Crimson Sandstorm（以前称为 Curium）、Imperial Kitten、TA456 和 Yellow Liderc。

在最近从 2022 年到 2023 年的攻击浪潮中，该组织采用了将威胁性 JavaScript 嵌入到受感染的合法网站中的策略。这种方法旨在收集有关访客的详细信息，包括他们的位置、设备详细信息和访问时间。

这些入侵的具体目标是地中海地区的海事、航运和物流部门。在某些情况下，这些攻击导致部署 IMAPLoader 作为后续有效负载，特别是当受害者被视为高价值目标时。

IMAPLoader 恶意软件是多阶段攻击链中的重要组件

由于功能相似，IMAPLoader 据称将取代之前在 2021 年底和 2022 年初使用的基于 Python 的 IMAP 植入 Tortoiseshell。该恶意软件通过查询硬编码的 IMAP 电子邮件帐户，特别是检查拼写错误为“Recive”的邮箱文件夹，充当下一阶段有效负载的下载程序，以从邮件附件中检索可执行文件。

在替代攻击链中，Microsoft Excel 诱饵文档被用作初始向量来启动多阶段流程来交付和执行 IMAPLoader，这表明威胁行为者正在使用多种策略和技术来实现其战略目标。

研究人员还发现了 Tortoiseshell 创建的网络钓鱼网站，其中一些针对欧洲境内的旅游和酒店行业，使用虚假的 Microsoft 登录页面进行凭据收集。

该威胁行为者仍然对许多行业和国家构成积极和持续的威胁，包括地中海地区的海事、航运和物流部门；美国和欧洲的核工业、航空航天和国防工业以及中东的 IT 管理服务提供商的更新通常包括对可能被网络犯罪分子利用的漏洞的关键修复。验证自动更新是确保您的设备能够抵御新出现的威胁的便捷方法。