Le logiciel malveillant IMAPLoader lié à un acteur menaçant iranien

L'acteur iranien connu sous le nom de Tortoiseshell, également suivi par des noms tels que Crimson Sandstorm, Imperial Kitten, TA456 et Yellow Liderc, a été attribué à une nouvelle vague d'attaques de points d'eau impliquant le déploiement d'un malware .NET nommé IMAPLoader.

Actif depuis au moins 2018, Tortoiseshell a un historique de compromission stratégique de sites Web, avec des attaques récentes ciblant les secteurs maritime, maritime et logistique en Méditerranée.

IMAPLoader, qui remplace un précédent implant IMAP basé sur Python, agit comme un téléchargeur pour les charges utiles de l'étape suivante. Il utilise le courrier électronique comme canal de commande et de contrôle, exécutant les charges utiles à partir des pièces jointes des courriers électroniques et les déployant via de nouveaux déploiements de services. L’acteur menaçant est lié au Corps des Gardiens de la révolution islamique (CGRI) et a ciblé diverses industries, notamment les sociétés de transport maritime, de logistique et de services financiers en Israël.

Les dernières attaques, observées entre 2022 et 2023, consistent à intégrer du JavaScript malveillant dans des sites Web légitimes compromis afin de recueillir des informations sur les visiteurs. Si une victime est jugée de grande valeur, IMAPLoader est déployé en tant que charge utile de suivi.

Le malware interroge des comptes de messagerie IMAP spécifiques, vérifiant dans un dossier de boîte aux lettres mal orthographié « Recive » les exécutables contenus dans les pièces jointes des messages. De plus, une chaîne d'attaque alternative utilise un document leurre Microsoft Excel pour lancer un processus en plusieurs étapes pour la livraison et l'exécution d'IMAPLoader, mettant en valeur les diverses tactiques et techniques de l'acteur malveillant.

Qui est Tortoiseshell APT ?

Tortoiseshell est un groupe de menace persistante avancée (APT) qui serait d'origine iranienne. Les groupes APT sont généralement des acteurs de cybermenace parrainés par l’État qui mènent des campagnes de cyberespionnage sophistiquées et à long terme. Ces groupes ont souvent des objectifs stratégiques spécifiques et sont connus pour utiliser des techniques avancées pour compromettre et infiltrer leurs cibles.

L'écaille de tortue est active depuis au moins 2018 et est associée à la République islamique d'Iran. Le groupe a ciblé divers secteurs, notamment le transport maritime, la logistique, les services financiers et d'autres industries. Il a l'habitude d'utiliser des compromissions stratégiques sur des sites Web pour distribuer des logiciels malveillants et a été lié au Corps des Gardiens de la révolution islamique (CGRI), une branche de l'armée iranienne.

Les tactiques de Tortoiseshell consistent à utiliser des attaques par points d'eau, où elles compromettent des sites Web légitimes pour cibler les visiteurs avec des logiciels malveillants, et à déployer des logiciels malveillants sophistiqués comme IMAPLoader pour atteindre leurs objectifs. Les activités du groupe ont été surveillées et rapportées par divers chercheurs et organisations en cybersécurité dans le domaine.