Вредоносное ПО IMAPLoader связано с иранским злоумышленником

Иранскому злоумышленнику, известному как Tortoiseshell, которого также отслеживают по таким именам, как Crimson Sandstorm, Imperial Kitten, TA456 и Yellow Liderc, приписывают новую волну атак на водопои, включающую развертывание вредоносного ПО для .NET под названием IMAPLoader.

Активная как минимум с 2018 года, Tortoiseshell имеет историю взломов стратегических веб-сайтов, причем недавние атаки были нацелены на морской, судоходный и логистический секторы в Средиземноморье.

IMAPLoader, замена предыдущего имплантата IMAP на основе Python, действует как загрузчик полезных данных следующего этапа. Он использует электронную почту в качестве канала управления и контроля, выполняя полезные данные из вложений электронной почты и развертывая их посредством развертывания новых сервисов. Злоумышленник связан с Корпусом стражей исламской революции (КСИР) и нацелился на различные отрасли, включая судоходные, логистические и финансовые компании в Израиле.

Последние атаки, наблюдавшиеся в период с 2022 по 2023 год, включали встраивание вредоносного кода JavaScript в скомпрометированные законные веб-сайты для сбора данных о посетителях. Если жертва считается ценной, IMAPLoader развертывается в качестве последующей полезной нагрузки.

Вредоносная программа запрашивает определенные учетные записи электронной почты IMAP, проверяя папку почтового ящика с ошибкой «Recive» на наличие исполняемых файлов во вложениях к сообщениям. Кроме того, альтернативная цепочка атак использует документ-ловушку Microsoft Excel для инициирования многоэтапного процесса доставки и выполнения IMAPLoader, демонстрируя разнообразные тактики и методы злоумышленника.

Кто такой черепаховый APT?

Tortoiseshell — это группа Advanced Persistent Threat (APT), предположительно иранского происхождения. Группы APT, как правило, представляют собой спонсируемых государством субъектов киберугроз, которые проводят долгосрочные и изощренные кампании кибершпионажа. Эти группы часто имеют конкретные стратегические цели и известны тем, что используют передовые методы для компрометации и проникновения в свои цели.

Черепаховый панцирь активен как минимум с 2018 года и связан с Исламской Республикой Иран. Группа нацелена на различные сектора, включая судоходство, логистику, финансовые услуги и другие отрасли. Он имеет опыт использования взлома стратегических веб-сайтов для распространения вредоносного ПО и связан с Корпусом стражей исламской революции (КСИР), подразделением иранских вооруженных сил.

Тактика Tortoiseshell включает в себя использование атак «водопой», когда они компрометируют законные веб-сайты, чтобы атаковать посетителей вредоносным ПО, а также развертывание сложных вредоносных программ, таких как IMAPLoader, для достижения своих целей. Деятельность группы отслеживалась и о ней сообщалось различными исследователями и организациями в области кибербезопасности.