IMAPLader Malware knyttet til iransk trusselaktør

Den iranske trusselaktøren kjent som Tortoiseshell, også sporet av navn som Crimson Sandstorm, Imperial Kitten, TA456 og Yellow Liderc, har blitt tilskrevet en ny bølge av vannhullsangrep som involverer distribusjon av en .NET-malware kalt IMAPLoader.

Tortoiseshell har vært aktiv siden minst 2018, og har en historie med strategiske nettstedkompromisser, med nylige angrep rettet mot maritime, skipsfart og logistikksektorene i Middelhavet.

IMAPLoader, en erstatning for et tidligere Python-basert IMAP-implantat, fungerer som en nedlaster for nyttelaster i neste trinn. Den bruker e-post som en kommando- og kontrollkanal, utfører nyttelast fra e-postvedlegg og distribuerer gjennom nye tjenesteimplementeringer. Trusselaktøren har vært knyttet til Islamic Revolutionary Guard Corps (IRGC) og har rettet seg mot ulike bransjer, inkludert shipping, logistikk og finansielle tjenester i Israel.

De siste angrepene, observert mellom 2022 og 2023, involverer innebygging av skadelig JavaScript på kompromitterte legitime nettsteder for å samle besøksdetaljer. Hvis et offer anses som høy verdi, distribueres IMAPLoader som en oppfølgende nyttelast.

Skadevaren spør etter spesifikke IMAP-e-postkontoer, og sjekker en feilstavet postboksmappe "Recive" for kjørbare filer i meldingsvedlegg. I tillegg bruker en alternativ angrepskjede et Microsoft Excel-lokkedokument for å starte en flertrinnsprosess for levering og utførelse av IMAPLoader, som viser trusselaktørens forskjellige taktikker og teknikker.

Hvem er Tortoiseshell APT?

Tortoiseshell er en Advanced Persistent Threat (APT) gruppe som antas å være av iransk opprinnelse. APT-grupper er typisk statsstøttede aktører for nettrussel som gjennomfører langsiktige og sofistikerte nettspionasjekampanjer. Disse gruppene har ofte spesifikke strategiske mål og er kjent for å bruke avanserte teknikker for å kompromittere og infiltrere målene deres.

Tortoiseshell har vært aktiv siden minst 2018 og er assosiert med den islamske republikken Iran. Gruppen har rettet seg mot ulike sektorer, inkludert shipping, logistikk, finansielle tjenester og andre bransjer. Den har en historie med å bruke strategiske nettstedkompromisser for å distribuere skadelig programvare og har blitt knyttet til Islamic Revolutionary Guard Corps (IRGC), en gren av det iranske militæret.

Tortoiseshells taktikk involverer bruk av vannhullsangrep, der de kompromitterer legitime nettsteder for å målrette besøkende med skadelig programvare, og distribuere sofistikert skadelig programvare som IMAPLoader for å nå sine mål. Gruppens aktiviteter har blitt overvåket og rapportert av ulike cybersikkerhetsforskere og organisasjoner på feltet.