IMAPLoader 惡意軟體

與伊朗有聯繫的網路威脅組織 Tortoiseshell 與最近激增的水坑攻擊有關。這些攻擊旨在釋放一種名為 IMAPLoader 的惡意軟體。

IMAPLoader 被歸類為 .NET 惡意軟體，能夠透過本機 Windows 工具分析目標系統。其主要功能是充當其他惡意負載的下載器。此惡意軟體利用電子郵件作為命令與控制（C2、C&C）通道，使其能夠執行從電子郵件附件中檢索到的有效負載。此外，它透過部署新服務來啟動執行。

Tortoiseshell 是與眾多攻擊活動相關的威脅行為體

Tortoiseshell 至少從 2018 年開始運營，擁有利用網站策略妥協來促進惡意軟體傳播的記錄。 2023 年初，研究人員確定該組織破壞了與以色列航運、物流和金融服務公司相關的 8 個網站。

該威脅行為者與伊斯蘭革命衛隊 (IRGC) 有關。他以各種名字受到更廣泛的網路安全社群的認可，包括 Crimson Sandstorm（以前稱為 Curium）、Imperial Kitten、TA456 和 Yellow Liderc。

在最近從 2022 年到 2023 年的攻擊浪潮中，該組織採用了將威脅性 JavaScript 嵌入受感染的合法網站中的策略。這種方法旨在收集有關訪客的詳細信息，包括他們的位置、設備詳細資訊和訪問時間。

這些入侵的具體目標是地中海地區的海事、航運和物流部門。在某些情況下，這些攻擊導致部署 IMAPLoader 作為後續有效負載，特別是當受害者被視為高價值目標時。

IMAPLoader 惡意軟體是多階段攻擊鏈中的重要元件

由於功能相似，IMAPLoader 據稱將取代先前在 2021 年底和 2022 年初使用的基於 Python 的 IMAP 植入 Tortoiseshell。該惡意軟體透過查詢硬編碼的 IMAP 電子郵件帳戶，特別是檢查拼寫錯誤為「Recive」的郵箱資料夾，充當下一階段有效負載的下載程序，以從郵件附件中檢索可執行檔。

在替代攻擊鏈中，Microsoft Excel 誘餌文件被用作初始向量來啟動多階段流程來交付和執行 IMAPLoader，這表明威脅行為者正在使用多種策略和技術來實現其策略目標。

研究人員還發現了 Tortoiseshell 創建的網路釣魚網站，其中一些針對歐洲境內的旅遊和酒店業，使用虛假的 Microsoft 登入頁面進行憑證收集。

該威脅行為者仍對許多產業和國家構成積極和持續的威脅，包括地中海地區的海事、航運和物流部門；美國和歐洲的核工業、航空航天和國防工業以及中東的 IT 管理服務提供商的更新通常包括對可能被網路犯罪分子利用的漏洞的關鍵修復。驗證自動更新是確保您的裝置能夠抵禦新出現的威脅的便捷方法。