IMAPLoader-Malware steht im Zusammenhang mit iranischem Bedrohungsakteur

Der iranische Bedrohungsakteur namens Tortoiseshell, der auch unter Namen wie Crimson Sandstorm, Imperial Kitten, TA456 und Yellow Liderc bekannt ist, wurde einer neuen Welle von Watering-Hole-Angriffen zugeschrieben, bei denen eine .NET-Malware namens IMAPLoader eingesetzt wurde.

Tortoiseshell ist seit mindestens 2018 aktiv und kann auf eine Geschichte strategischer Website-Kompromittierungen zurückblicken, wobei die jüngsten Angriffe auf die See-, Schifffahrts- und Logistikbranche im Mittelmeer abzielten.

IMAPLoader, ein Ersatz für ein früheres Python-basiertes IMAP-Implantat, fungiert als Downloader für Nutzdaten der nächsten Stufe. Es nutzt E-Mail als Befehls- und Kontrollkanal, führt Nutzlasten aus E-Mail-Anhängen aus und stellt sie über neue Dienstbereitstellungen bereit. Der Bedrohungsakteur wurde mit dem Korps der Islamischen Revolutionsgarde (IRGC) in Verbindung gebracht und hat verschiedene Branchen ins Visier genommen, darunter Schifffahrts-, Logistik- und Finanzdienstleistungsunternehmen in Israel.

Die jüngsten Angriffe, die zwischen 2022 und 2023 beobachtet wurden, beinhalten die Einbettung von bösartigem JavaScript in kompromittierte legitime Websites, um Besucherdaten zu sammeln. Wenn ein Opfer als wertvoll eingestuft wird, wird IMAPLoader als Folgenutzlast bereitgestellt.

Die Malware fragt bestimmte IMAP-E-Mail-Konten ab und überprüft einen falsch geschriebenen Postfachordner „Recive“ auf ausführbare Dateien in Nachrichtenanhängen. Darüber hinaus nutzt eine alternative Angriffskette ein Microsoft Excel-Täuschungsdokument, um einen mehrstufigen Prozess für die Bereitstellung und Ausführung von IMAPLoader zu initiieren, der die vielfältigen Taktiken und Techniken des Bedrohungsakteurs demonstriert.

Wer ist Tortoiseshell APT?

Tortoiseshell ist eine Advanced Persistent Threat (APT)-Gruppe, die vermutlich iranischen Ursprungs ist. Bei APT-Gruppen handelt es sich in der Regel um staatlich geförderte Cyber-Bedrohungsakteure, die langfristige und anspruchsvolle Cyber-Spionagekampagnen durchführen. Diese Gruppen haben oft spezifische strategische Ziele und sind dafür bekannt, fortschrittliche Techniken einzusetzen, um ihre Ziele zu kompromittieren und zu infiltrieren.

Tortoiseshell ist seit mindestens 2018 aktiv und wird mit der Islamischen Republik Iran in Verbindung gebracht. Die Gruppe hat verschiedene Sektoren im Visier, darunter Schifffahrt, Logistik, Finanzdienstleistungen und andere Branchen. Es hat in der Vergangenheit strategische Website-Kompromittierungen zur Verbreitung von Malware genutzt und wurde mit dem Korps der Islamischen Revolutionsgarden (IRGC), einem Zweig des iranischen Militärs, in Verbindung gebracht.

Zu den Taktiken von Tortoiseshell gehören Watering-Hole-Angriffe, bei denen legitime Websites kompromittiert werden, um Besucher mit Malware anzugreifen, und der Einsatz hochentwickelter Malware wie IMAPLoader, um ihre Ziele zu erreichen. Die Aktivitäten der Gruppe wurden von verschiedenen Cybersicherheitsforschern und Organisationen auf diesem Gebiet überwacht und darüber berichtet.