Az IMAPLoader rosszindulatú program az iráni fenyegetőzőhöz kapcsolódik

A Tortoiseshell néven ismert iráni fenyegetést, akit olyan nevek is nyomon követnek, mint a Crimson Sandstorm, az Imperial Kitten, a TA456 és a Yellow Liderc, a vízhiányos támadások új hullámának tulajdonították, amely egy IMAPLoader nevű .NET rosszindulatú program telepítésével járt.

A legalább 2018 óta működő Tortoiseshell stratégiai webhely-kompromisszumokkal rendelkezik, a közelmúltban a tengeri, a hajózási és a logisztikai ágazatot célzó támadások a Földközi-tengeren.

Az IMAPLoader, amely a korábbi Python-alapú IMAP-implantátumot helyettesíti, letöltőként működik a következő szintű hasznos terhelésekhez. Az e-mailt parancs- és vezérlőcsatornaként használja, az e-mail mellékletekből származó hasznos terheket hajtja végre, és új szolgáltatástelepítéseken keresztül telepíti. A fenyegetés szereplője kapcsolatban áll az Iszlám Forradalmi Gárda Hadtesttel (IRGC), és különböző iparágakra, köztük hajózási, logisztikai és pénzügyi szolgáltató cégekre támadt Izraelben.

A legutóbbi, 2022 és 2023 között megfigyelt támadások során rosszindulatú JavaScriptet ágyaztak be a feltört legitim webhelyekbe a látogatói adatok összegyűjtésére. Ha egy áldozatot nagy értékűnek ítélnek meg, az IMAPLoader további hasznos teherként kerül telepítésre.

A rosszindulatú program meghatározott IMAP e-mail fiókokat kérdez le, és ellenőrzi a hibásan elírt postaláda "Recive" mappáját az üzenet mellékleteiben található végrehajtható fájlokhoz. Ezenkívül egy alternatív támadási lánc egy Microsoft Excel csalidokumentumot használ az IMAPLoader kézbesítésének és végrehajtásának többlépcsős folyamatának elindításához, bemutatva a fenyegetőző különféle taktikáit és technikáit.

Ki az a Tortoiseshell APT?

A teknőspáncél egy Advanced Persistent Threat (APT) csoport, amelyről úgy gondolják, hogy iráni eredetű. Az APT csoportok jellemzően államilag támogatott kiberfenyegetés szereplői, amelyek hosszú távú és kifinomult kiberkémkedési kampányokat folytatnak. Ezeknek a csoportoknak gyakran konkrét stratégiai céljaik vannak, és arról ismertek, hogy fejlett technikákat alkalmaznak a célpontjaik megkompromittálására és beszivárgására.

A Teknőspáncél legalább 2018 óta aktív, és kapcsolatban áll az Iráni Iszlám Köztársasággal. A csoport különböző ágazatokat célzott meg, beleértve a szállítást, a logisztikát, a pénzügyi szolgáltatásokat és más iparágakat. Régóta használt stratégiai webhely-kompromisszumokat rosszindulatú programok terjesztésére, és kapcsolatban áll az Iszlám Forradalmi Gárda Testülettel (IRGC), az iráni hadsereg egyik ágával.

A Tortoiseshell taktikái közé tartozik a vízhiányos támadások alkalmazása, ahol a legitim webhelyek feltörésével a látogatókat rosszindulatú programokkal célozzák meg, valamint olyan kifinomult rosszindulatú programokat telepítenek, mint az IMAPLoader céljaik elérése érdekében. A csoport tevékenységét a területen különböző kiberbiztonsági kutatók és szervezetek figyelemmel kísérték és beszámoltak róla.