Malware IMAPLoader vinculado a ator de ameaça iraniano

O ator de ameaça iraniano conhecido como Tortoiseshell, também rastreado por nomes como Crimson Sandstorm, Imperial Kitten, TA456 e Yellow Liderc, foi atribuído a uma nova onda de ataques watering hole envolvendo a implantação de um malware .NET chamado IMAPLoader.

Ativo desde pelo menos 2018, o Tortoiseshell tem um histórico de comprometimentos estratégicos em websites, com ataques recentes direcionados aos setores marítimo, marítimo e logístico no Mediterrâneo.

IMAPLoader, um substituto para um implante IMAP anterior baseado em Python, atua como um downloader para cargas úteis do próximo estágio. Ele usa email como canal de comando e controle, executando cargas de anexos de email e implantando por meio de novas implantações de serviço. O ator ameaçador está ligado ao Corpo da Guarda Revolucionária Islâmica (IRGC) e tem como alvo vários setores, incluindo empresas de transporte, logística e serviços financeiros em Israel.

Os ataques mais recentes, observados entre 2022 e 2023, envolvem a incorporação de JavaScript malicioso em sites legítimos comprometidos para recolher detalhes dos visitantes. Se uma vítima for considerada de alto valor, o IMAPLoader será implantado como uma carga útil subsequente.

O malware consulta contas de e-mail IMAP específicas, verificando uma pasta de caixa de correio com erros ortográficos "Recive" em busca de executáveis em anexos de mensagens. Além disso, uma cadeia de ataque alternativa usa um documento isca do Microsoft Excel para iniciar um processo de vários estágios para entrega e execução do IMAPLoader, mostrando as diversas táticas e técnicas do agente da ameaça.

Quem é o Tortoiseshell APT?

Tortoiseshell é um grupo de Ameaça Persistente Avançada (APT) que se acredita ser de origem iraniana. Os grupos APT são normalmente atores de ameaças cibernéticas patrocinados pelo Estado que conduzem campanhas sofisticadas e de longo prazo de espionagem cibernética. Estes grupos têm frequentemente objectivos estratégicos específicos e são conhecidos por utilizar técnicas avançadas para comprometer e infiltrar os seus alvos.

A Tortoiseshell está ativa pelo menos desde 2018 e está associada à República Islâmica do Irã. O grupo tem como alvo vários setores, incluindo transporte marítimo, logística, serviços financeiros e outras indústrias. Tem um histórico de uso de comprometimentos estratégicos de sites para distribuir malware e está vinculado ao Corpo da Guarda Revolucionária Islâmica (IRGC), um ramo das forças armadas iranianas.

As táticas do Tortoiseshell envolvem o uso de ataques watering hole, onde comprometem sites legítimos para atingir os visitantes com malware, e a implantação de malware sofisticado como o IMAPLoader para atingir seus objetivos. As atividades do grupo têm sido monitoradas e relatadas por diversos pesquisadores e organizações de segurança cibernética da área.