Κακόβουλο λογισμικό IMAPLoader που συνδέεται με τον ιρανικό παράγοντα απειλών

Ο Ιρανός ηθοποιός απειλών, γνωστός ως Tortoiseshell, ο οποίος επίσης παρακολουθείται από ονόματα όπως Crimson Sandstorm, Imperial Kitten, TA456 και Yellow Liderc, έχει αποδοθεί σε ένα νέο κύμα επιθέσεων που περιλαμβάνει την ανάπτυξη ενός κακόβουλου λογισμικού .NET με το όνομα IMAPLoader.

Ενεργός τουλάχιστον από το 2018, η Tortoiseshell έχει ιστορικό συμβιβασμών σε στρατηγικούς ιστότοπους, με πρόσφατες επιθέσεις που στοχεύουν τους τομείς της ναυτιλίας, της ναυτιλίας και της εφοδιαστικής στη Μεσόγειο.

Το IMAPLoader, μια αντικατάσταση ενός προηγούμενου εμφυτεύματος IMAP που βασίζεται σε Python, λειτουργεί ως πρόγραμμα λήψης για ωφέλιμα φορτία επόμενου σταδίου. Χρησιμοποιεί το email ως κανάλι εντολών και ελέγχου, εκτελώντας ωφέλιμα φορτία από συνημμένα email και αναπτύσσοντας μέσω ανάπτυξης νέων υπηρεσιών. Ο παράγοντας της απειλής έχει συνδεθεί με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης (IRGC) και έχει βάλει στο στόχαστρο διάφορες βιομηχανίες, συμπεριλαμβανομένων των ναυτιλιακών, των logistics και των εταιρειών χρηματοοικονομικών υπηρεσιών στο Ισραήλ.

Οι τελευταίες επιθέσεις, που παρατηρήθηκαν μεταξύ 2022 και 2023, περιλαμβάνουν την ενσωμάτωση κακόβουλης JavaScript σε παραβιασμένους νόμιμους ιστότοπους για τη συλλογή στοιχείων επισκεπτών. Εάν ένα θύμα θεωρείται υψηλής αξίας, το IMAPLoader αναπτύσσεται ως επόμενο ωφέλιμο φορτίο.

Το κακόβουλο λογισμικό υποβάλλει ερωτήματα σε συγκεκριμένους λογαριασμούς email IMAP, ελέγχοντας έναν ανορθόγραφο φάκελο γραμματοκιβωτίου "Recive" για εκτελέσιμα αρχεία στα συνημμένα μηνυμάτων. Επιπλέον, μια εναλλακτική αλυσίδα επίθεσης χρησιμοποιεί ένα έγγραφο δόλωμα του Microsoft Excel για να ξεκινήσει μια διαδικασία πολλαπλών σταδίων για την παράδοση και την εκτέλεση του IMAPLoader, παρουσιάζοντας τις διαφορετικές τακτικές και τεχνικές του παράγοντα απειλής.

Ποιος είναι η Tortoiseshell APT;

Το Tortoiseshell είναι μια ομάδα Advanced Persistent Threat (APT) που πιστεύεται ότι είναι ιρανικής καταγωγής. Οι ομάδες APT είναι συνήθως φορείς απειλών στον κυβερνοχώρο που χρηματοδοτούνται από το κράτος και διεξάγουν μακροπρόθεσμες και εξελιγμένες εκστρατείες κυβερνοκατασκοπείας. Αυτές οι ομάδες έχουν συχνά συγκεκριμένους στρατηγικούς στόχους και είναι γνωστές για τη χρήση προηγμένων τεχνικών για να συμβιβάσουν και να διεισδύσουν στους στόχους τους.

Η Tortoiseshell δραστηριοποιείται τουλάχιστον από το 2018 και συνδέεται με την Ισλαμική Δημοκρατία του Ιράν. Ο όμιλος έχει στοχεύσει διάφορους τομείς, συμπεριλαμβανομένων των ναυτιλιακών, των logistics, των χρηματοοικονομικών υπηρεσιών και άλλων βιομηχανιών. Έχει ιστορικό χρήσης στρατηγικών συμβιβασμών ιστοτόπων για τη διανομή κακόβουλου λογισμικού και έχει συνδεθεί με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης (IRGC), κλάδο του ιρανικού στρατού.

Οι τακτικές της Tortoiseshell περιλαμβάνουν τη χρήση επιθέσεων από το νερό, όπου παραβιάζουν νόμιμους ιστότοπους για να στοχεύουν επισκέπτες με κακόβουλο λογισμικό, και την ανάπτυξη εξελιγμένου κακόβουλου λογισμικού όπως το IMAPLoader για την επίτευξη των στόχων τους. Οι δραστηριότητες της ομάδας έχουν παρακολουθηθεί και έχουν αναφερθεί από διάφορους ερευνητές και οργανισμούς στον τομέα της κυβερνοασφάλειας.