„IMAPLoader“ kenkėjiška programa, susijusi su Irano grėsmės veikėju
Irano grėsmių veikėjas, žinomas kaip Tortoiseshell, taip pat sekamas tokiais vardais kaip Crimson Sandstorm, Imperial Kitten, TA456 ir Yellow Liderc, buvo priskirtas naujai atakų bangai, apimančiai .NET kenkėjiškos programos, pavadintos IMAPLoader, diegimą.
„Tortoiseshell“, veikianti mažiausiai nuo 2018 m., patyrė strateginių svetainių kompromisų istoriją, o pastarieji išpuoliai buvo nukreipti į jūrų, laivybos ir logistikos sektorius Viduržemio jūroje.
IMAPLoader, ankstesnio Python pagrindu sukurto IMAP implanto pakaitalas, veikia kaip naujos pakopos naudingųjų krovinių atsisiuntimo priemonė. Jis naudoja el. paštą kaip komandų ir valdymo kanalą, vykdydamas naudingąsias apkrovas iš el. pašto priedų ir diegdamas naujas paslaugas. Grėsmės veikėjas buvo siejamas su Islamo revoliucijos gvardijos korpusu (IRGC) ir nusitaikė į įvairias pramonės šakas, įskaitant laivybos, logistikos ir finansinių paslaugų įmones Izraelyje.
Paskutinės atakos, pastebėtos 2022–2023 m., apima kenkėjiškos „JavaScript“ įterpimą į pažeistas teisėtas svetaines, kad būtų galima surinkti informaciją apie lankytojus. Jei auka laikoma didelės vertės, IMAPLoader yra naudojamas kaip tolesnis naudingasis krovinys.
Kenkėjiška programa pateikia užklausas dėl konkrečių IMAP el. pašto paskyrų, tikrindama, ar pranešimų prieduose yra klaidingai parašytos pašto dėžutės aplanko „Gauti“ vykdomųjų failų. Be to, alternatyvi atakų grandinė naudoja „Microsoft Excel“ apgaulės dokumentą, kad inicijuotų kelių etapų IMAPLoader pristatymo ir vykdymo procesą, parodydama įvairią grėsmės veikėjo taktiką ir metodus.
Kas yra Tortoiseshell APT?
Vėžlio kiautas yra pažangios nuolatinės grėsmės (APT) grupė, kuri, kaip manoma, yra Irano kilmės. APT grupės paprastai yra valstybės remiamos kibernetinės grėsmės veikėjai, vykdantys ilgalaikes ir sudėtingas kibernetinio šnipinėjimo kampanijas. Šios grupės dažnai turi konkrečius strateginius tikslus ir yra žinomos dėl to, kad naudoja pažangias technologijas siekdamos kompromisų ir įsiskverbti į savo taikinius.
„Tortoiseshell“ veikia mažiausiai nuo 2018 m. ir yra siejama su Irano Islamo Respublika. Grupė orientavosi į įvairius sektorius, įskaitant laivybos, logistikos, finansinių paslaugų ir kitas pramonės šakas. Ji jau seniai naudojo strateginius svetainių kompromisus kenkėjiškoms programoms platinti ir buvo susieta su Islamo revoliucijos gvardijos korpusu (IRGC), Irano kariuomenės padaliniu.
„Tortoiseshell“ taktika apima atakų panaudojimą, kai jos pažeidžia teisėtas svetaines, nukreipdamos lankytojus į kenkėjiškas programas, ir diegia sudėtingas kenkėjiškas programas, tokias kaip IMAPLoader, kad pasiektų savo tikslus. Grupės veiklą stebėjo ir apie tai praneša įvairūs kibernetinio saugumo tyrinėtojai ir šios srities organizacijos.
