IMAPLoader-malware gekoppeld aan Iraanse bedreigingsacteur

De Iraanse bedreigingsacteur bekend als Tortoiseshell, ook gevolgd door namen als Crimson Sandstorm, Imperial Kitten, TA456 en Yellow Liderc, wordt toegeschreven aan een nieuwe golf van watergataanvallen waarbij de inzet van een .NET-malware genaamd IMAPLoader betrokken is.

Tortoiseshell is actief sinds minstens 2018 en heeft een geschiedenis van strategische website-compromissen, met recente aanvallen gericht op de maritieme, scheepvaart- en logistieke sectoren in het Middellandse Zeegebied.

IMAPLoader, een vervanging voor een eerder op Python gebaseerd IMAP-implantaat, fungeert als downloader voor payloads in de volgende fase. Het gebruikt e-mail als commando- en controlekanaal, voert payloads uit e-mailbijlagen uit en implementeert het via nieuwe service-implementaties. De bedreigingsacteur is gelinkt aan de Islamitische Revolutionaire Garde (IRGC) en heeft zich gericht op verschillende industrieën, waaronder scheepvaart-, logistieke en financiële dienstverleners in Israël.

De laatste aanvallen, waargenomen tussen 2022 en 2023, omvatten het insluiten van kwaadaardig JavaScript in gecompromitteerde legitieme websites om bezoekersgegevens te verzamelen. Als een slachtoffer als waardevol wordt beschouwd, wordt IMAPLoader ingezet als vervolglading.

De malware ondervraagt specifieke IMAP-e-mailaccounts en controleert een verkeerd gespelde mailboxmap "Recive" op uitvoerbare bestanden in berichtbijlagen. Bovendien gebruikt een alternatieve aanvalsketen een Microsoft Excel-lokmiddeldocument om een meerfasig proces voor de levering en uitvoering van IMAPLoader te initiëren, waarbij de diverse tactieken en technieken van de bedreigingsacteur worden getoond.

Wie is Tortoiseshell APT?

Tortoiseshell is een Advanced Persistent Threat (APT)-groep waarvan wordt aangenomen dat deze van Iraanse afkomst is. APT-groepen zijn doorgaans door de staat gesponsorde cyberdreigingsactoren die langdurige en geavanceerde cyberspionagecampagnes voeren. Deze groepen hebben vaak specifieke strategische doelen en staan bekend om het gebruik van geavanceerde technieken om hun doelen te compromitteren en te infiltreren.

Schildpad is in ieder geval sinds 2018 actief en wordt geassocieerd met de Islamitische Republiek Iran. De groep heeft zich gericht op verschillende sectoren, waaronder de scheepvaart, logistiek, financiële dienstverlening en andere industrieën. Het heeft een geschiedenis van het gebruik van strategische websitecompromissen om malware te verspreiden en is gelinkt aan de Islamitische Revolutionaire Garde (IRGC), een tak van het Iraanse leger.

De tactieken van Tortoiseshell omvatten het gebruik van watering hole-aanvallen, waarbij ze legitieme websites compromitteren om bezoekers te targeten met malware, en het inzetten van geavanceerde malware zoals IMAPLoader om hun doelstellingen te bereiken. De activiteiten van de groep zijn gemonitord en gerapporteerd door verschillende cybersecurityonderzoekers en organisaties in het veld.