Malware IMAPLoader vinculado a un actor de amenazas iraní

El actor de amenazas iraní conocido como Tortoiseshell, también rastreado por nombres como Crimson Sandstorm, Imperial Kitten, TA456 y Yellow Liderc, ha sido atribuido a una nueva ola de ataques de abrevadero que involucran el despliegue de un malware .NET llamado IMAPLoader.

Activo desde al menos 2018, Tortoiseshell tiene un historial de ataques estratégicos a sitios web, con ataques recientes dirigidos a los sectores marítimo, marítimo y logístico en el Mediterráneo.

IMAPLoader, un reemplazo de un implante IMAP anterior basado en Python, actúa como un descargador de cargas útiles de la siguiente etapa. Utiliza el correo electrónico como canal de comando y control, ejecuta cargas útiles desde archivos adjuntos de correo electrónico e implementa a través de nuevas implementaciones de servicios. El actor de amenazas ha estado vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) y ha apuntado a varias industrias, incluidas empresas de transporte, logística y servicios financieros en Israel.

Los últimos ataques, observados entre 2022 y 2023, implican la incorporación de JavaScript malicioso en sitios web legítimos comprometidos para recopilar datos de los visitantes. Si se considera que una víctima es de gran valor, IMAPLoader se implementa como carga útil de seguimiento.

El malware consulta cuentas de correo electrónico IMAP específicas, comprobando una carpeta de buzón mal escrita "Recibir" en busca de ejecutables en archivos adjuntos de mensajes. Además, una cadena de ataque alternativa utiliza un documento señuelo de Microsoft Excel para iniciar un proceso de varias etapas para la entrega y ejecución de IMAPLoader, mostrando las diversas tácticas y técnicas del actor de la amenaza.

¿Quién es Carey APT?

Tortoiseshell es un grupo de Amenaza Persistente Avanzada (APT) que se cree que es de origen iraní. Los grupos APT suelen ser actores de amenazas cibernéticas patrocinados por el Estado que llevan a cabo campañas de ciberespionaje sofisticadas y a largo plazo. Estos grupos suelen tener objetivos estratégicos específicos y son conocidos por utilizar técnicas avanzadas para comprometer e infiltrar sus objetivos.

Carey ha estado activo desde al menos 2018 y está asociado con la República Islámica de Irán. El grupo se ha dirigido a varios sectores, incluidos el transporte marítimo, la logística, los servicios financieros y otras industrias. Tiene un historial de uso de sitios web estratégicos para distribuir malware y se le ha vinculado con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC), una rama del ejército iraní.

Las tácticas de Tortoiseshell implican el uso de ataques de abrevadero, en los que comprometen sitios web legítimos para atacar a los visitantes con malware, y la implementación de malware sofisticado como IMAPLoader para lograr sus objetivos. Las actividades del grupo han sido monitoreadas e informadas por varios investigadores y organizaciones de ciberseguridad en el campo.