IMAPLoader マルウェアはイランの脅威アクターに関連している

Tortoiseshell として知られるイランの脅威アクターは、Crimson Sandstorm、Imperial Kitten、TA456、Yellow Liderc などの名前でも追跡されており、IMAPLoader という .NET マルウェアの展開を伴う水飲み場型攻撃の新たな波に関与していると考えられています。

Tortoiseshell は少なくとも 2018 年から活動を続けており、戦略的な Web サイト侵害の歴史があり、最近では地中海の海運、海運、物流部門を標的とした攻撃が行われています。

IMAPLoader は、以前の Python ベースの IMAP インプラントに代わるもので、次の段階のペイロードのダウンローダーとして機能します。コマンド アンド コントロール チャネルとして電子メールを使用し、電子メールの添付ファイルからペイロードを実行し、新しいサービスのデプロイメントを通じてデプロイします。この攻撃者はイスラム革命防衛隊（IRGC）と関係があり、イスラエルの海運、物流、金融サービス会社などさまざまな業界を標的にしている。

2022 年から 2023 年にかけて観察された最新の攻撃では、侵害された正規 Web サイトに悪意のある JavaScript を埋め込み、訪問者の詳細を収集します。被害者の価値が高いとみなされた場合、IMAPLoader が後続のペイロードとしてデプロイされます。

このマルウェアは特定の IMAP 電子メール アカウントを照会し、スペルが間違っているメールボックス フォルダー「Recive」をチェックして、メッセージの添付ファイルに実行可能ファイルがないかどうかを確認します。さらに、代替の攻撃チェーンは Microsoft Excel おとりドキュメントを使用して、IMAPLoader の配信と実行のための多段階プロセスを開始し、脅威アクターの多様な戦術とテクニックを示しています。

Tortoiseshell APT とは何者ですか?

Tortoiseshell は、イラン起源であると考えられている Advanced Persistent Threat (APT) グループです。 APT グループは通常、長期的かつ高度なサイバースパイ活動を行う国家支援のサイバー攻撃者です。これらのグループは多くの場合、特定の戦略的目標を持っており、高度な技術を使用してターゲットを侵害し、侵入することで知られています。

Tortoiseshell は少なくとも 2018 年から活動しており、イラン・イスラム共和国と関連しています。このグループは、海運、物流、金融サービス、その他の業界を含むさまざまなセクターをターゲットにしています。マルウェアを配布するために戦略的な Web サイト侵害を行った経歴があり、イラン軍の一部門であるイスラム革命防衛隊 (IRGC) との関連も指摘されています。

Tortoiseshell の戦術には、正規の Web サイトを侵害して訪問者をマルウェアで標的にする水飲み場攻撃の使用と、目的を達成するために IMAPLoader のような高度なマルウェアの導入が含まれます。このグループの活動は、この分野のさまざまなサイバーセキュリティ研究者や組織によって監視され、報告されています。