IMAPLoader Malware knyttet til iransk trusselskuespiller

Den iranske trusselsaktør kendt som Tortoiseshell, der også spores af navne som Crimson Sandstorm, Imperial Kitten, TA456 og Yellow Liderc, er blevet tilskrevet en ny bølge af vandhulsangreb, der involverer implementeringen af en .NET malware ved navn IMAPLoader.

Tortoiseshell, der har været aktiv siden mindst 2018, har en historie med strategiske hjemmesidekompromiser med nylige angreb rettet mod maritime, skibsfart og logistiksektorer i Middelhavet.

IMAPLoader, en erstatning for et tidligere Python-baseret IMAP-implantat, fungerer som en downloader til næste trins nyttelast. Den bruger e-mail som en kommando- og kontrolkanal, udfører nyttelaster fra vedhæftede filer i e-mails og implementerer gennem nye tjenesteimplementeringer. Trusselsaktøren har været knyttet til Islamic Revolutionary Guard Corps (IRGC) og har rettet sig mod forskellige industrier, herunder shipping-, logistik- og finansielle servicevirksomheder i Israel.

De seneste angreb, observeret mellem 2022 og 2023, involverer indlejring af ondsindet JavaScript på kompromitterede legitime websteder for at indsamle besøgendes detaljer. Hvis et offer anses for at være af høj værdi, implementeres IMAPLoader som en opfølgende nyttelast.

Malwaren forespørger efter specifikke IMAP-e-mail-konti og tjekker en forkert stavet postkassemappe "Recive" for eksekverbare filer i meddelelsesvedhæftede filer. Derudover bruger en alternativ angrebskæde et Microsoft Excel-lokkedokument til at starte en flertrinsproces til levering og eksekvering af IMAPLoader, der viser trusselsaktørens forskellige taktik og teknikker.

Hvem er Tortoiseshell APT?

Tortoiseshell er en Advanced Persistent Threat (APT) gruppe, der menes at være af iransk oprindelse. APT-grupper er typisk statssponsorerede cybertrusselsaktører, der gennemfører langsigtede og sofistikerede cyberspionagekampagner. Disse grupper har ofte specifikke strategiske mål og er kendt for at bruge avancerede teknikker til at gå på kompromis og infiltrere deres mål.

Tortoiseshell har været aktiv siden mindst 2018 og er forbundet med Den Islamiske Republik Iran. Gruppen har rettet sig mod forskellige sektorer, herunder shipping, logistik, finansielle tjenesteydelser og andre industrier. Det har en historie med at bruge strategiske hjemmesidekompromiser til at distribuere malware og er blevet forbundet med Islamic Revolutionary Guard Corps (IRGC), en gren af det iranske militær.

Tortoiseshells taktik involverer brug af vandhulsangreb, hvor de kompromitterer legitime websteder for at målrette besøgende med malware, og implementering af sofistikeret malware som IMAPLoader for at nå deres mål. Gruppens aktiviteter er blevet overvåget og rapporteret om af forskellige cybersikkerhedsforskere og organisationer på området.