Malware IMAPLoader collegato all'attore minaccioso iraniano

L'autore della minaccia iraniano noto come Tortoiseshell, rintracciato anche con nomi come Crimson Sandstorm, Imperial Kitten, TA456 e Yellow Liderc, è stato attribuito a una nuova ondata di attacchi Watering Hole che comportano l'implementazione di un malware .NET denominato IMAPLoader.

Attivo almeno dal 2018, Tortoiseshell ha una storia di compromissioni di siti web strategici, con recenti attacchi contro i settori marittimo, marittimo e logistico nel Mediterraneo.

IMAPLoader, in sostituzione di un precedente impianto IMAP basato su Python, funge da downloader per i payload della fase successiva. Utilizza la posta elettronica come canale di comando e controllo, eseguendo payload dagli allegati di posta elettronica e distribuendo nuovi servizi. L’autore della minaccia è stato collegato al Corpo delle Guardie della Rivoluzione Islamica (IRGC) e ha preso di mira vari settori, tra cui società di spedizioni, logistica e servizi finanziari in Israele.

Gli attacchi più recenti, osservati tra il 2022 e il 2023, comportano l’incorporamento di JavaScript dannoso in siti Web legittimi compromessi per raccogliere i dettagli dei visitatori. Se una vittima è ritenuta di alto valore, IMAPLoader viene distribuito come payload successivo.

Il malware interroga specifici account di posta elettronica IMAP, controllando la presenza di file eseguibili negli allegati dei messaggi nella cartella della casella di posta con errori di ortografia "Recive". Inoltre, una catena di attacco alternativa utilizza un documento esca di Microsoft Excel per avviare un processo in più fasi per la consegna e l'esecuzione di IMAPLoader, mostrando le diverse tattiche e tecniche dell'autore della minaccia.

Chi è l'APT Tartaruga?

Tortoiseshell è un gruppo Advanced Persistent Threat (APT) che si ritiene sia di origine iraniana. I gruppi APT sono in genere attori di minacce informatiche sponsorizzati dallo stato che conducono sofisticate campagne di spionaggio informatico a lungo termine. Questi gruppi hanno spesso obiettivi strategici specifici e sono noti per l'utilizzo di tecniche avanzate per compromettere e infiltrarsi nei loro obiettivi.

Tortoiseshell è attivo almeno dal 2018 ed è associato alla Repubblica islamica dell’Iran. Il gruppo ha preso di mira vari settori, tra cui spedizioni, logistica, servizi finanziari e altri settori. Ha una storia di utilizzo di siti web compromessi strategici per distribuire malware ed è stato collegato al Corpo delle Guardie della Rivoluzione Islamica (IRGC), un ramo dell'esercito iraniano.

Le tattiche di Tortoiseshell prevedono l'utilizzo di attacchi wateringhole, in cui compromettono siti Web legittimi per prendere di mira i visitatori con malware, e l'implementazione di malware sofisticati come IMAPLoader per raggiungere i propri obiettivi. Le attività del gruppo sono state monitorate e segnalate da vari ricercatori e organizzazioni di sicurezza informatica sul campo.