Złośliwe oprogramowanie IMAPLoader powiązane z irańskim aktorem zagrażającym

Irańskiego ugrupowania zagrażającego znanego jako Tortoiseshell, śledzonego również pod nazwami takimi jak Crimson Sandstorm, Imperial Kitten, TA456 i Yellow Liderc, przypisuje się nową falę ataków wodopoju obejmujących wdrożenie szkodliwego oprogramowania .NET o nazwie IMAPLoader.

Aktywny od co najmniej 2018 r. Tortoiseshell może pochwalić się historią strategicznych włamań do witryn internetowych, a niedawne ataki wymierzone były w sektory morski, żeglugowy i logistyczny w regionie Morza Śródziemnego.

IMAPLoader, zamiennik poprzedniego implantu IMAP opartego na języku Python, działa jako moduł pobierania ładunków następnego etapu. Wykorzystuje pocztę elektroniczną jako kanał dowodzenia i kontroli, wykonując ładunki z załączników do wiadomości e-mail i wdrażając je poprzez wdrożenia nowych usług. Podmiot zagrażający został powiązany z Korpusem Strażników Rewolucji Islamskiej (IRGC) i obrał za cel różne gałęzie przemysłu, w tym przedsiębiorstwa żeglugowe, logistyczne i świadczące usługi finansowe w Izraelu.

Najnowsze ataki, zaobserwowane w latach 2022–2023, polegają na osadzaniu złośliwego kodu JavaScript w zainfekowanych, legalnych witrynach internetowych w celu gromadzenia danych odwiedzających. Jeśli ofiara zostanie uznana za wartościową, IMAPLoader zostanie wdrożony jako kolejny ładunek.

Szkodnik odpytuje określone konta e-mail IMAP, sprawdzając błędnie napisany folder skrzynki pocztowej „Recive” pod kątem plików wykonywalnych w załącznikach wiadomości. Ponadto alternatywny łańcuch ataków wykorzystuje dokument-wabik programu Microsoft Excel do inicjowania wieloetapowego procesu dostarczania i wykonywania IMAPLoader, prezentując różnorodne taktyki i techniki ugrupowania zagrażającego.

Kim jest Tortoiseshell APT?

Tortoiseshell to grupa zaawansowanych trwałych zagrożeń (APT), która prawdopodobnie ma irańskie pochodzenie. Grupy APT to zazwyczaj sponsorowane przez państwo podmioty zagrażające cyberprzestępcom, które prowadzą długoterminowe i wyrafinowane kampanie cyberszpiegowskie. Grupy te często mają określone cele strategiczne i są znane z używania zaawansowanych technik do kompromitowania i infiltrowania swoich celów.

Tortoiseshell działa co najmniej od 2018 roku i jest powiązany z Islamską Republiką Iranu. Grupa skupiała się na różnych sektorach, w tym transporcie, logistyce, usługach finansowych i innych branżach. Ma historię wykorzystywania strategicznych zabezpieczeń witryn internetowych do dystrybucji złośliwego oprogramowania i jest powiązany z Korpusem Strażników Rewolucji Islamskiej (IRGC), oddziałem irańskiej armii.

Taktyka Tortoiseshell polega na stosowaniu ataków typu watering hole, podczas których naruszają legalne witryny internetowe w celu zaatakowania odwiedzających złośliwym oprogramowaniem, oraz na wdrażaniu wyrafinowanego złośliwego oprogramowania, takiego jak IMAPLoader, aby osiągnąć swoje cele. Działania grupy były monitorowane i zgłaszane przez różnych badaczy i organizacje zajmujące się cyberbezpieczeństwem w tej dziedzinie.