IMAPLader skadlig programvara kopplad till iransk hotaktör
Den iranska hotaktören känd som Tortoiseshell, även spårad av namn som Crimson Sandstorm, Imperial Kitten, TA456 och Yellow Liderc, har tillskrivits en ny våg av vattenhålsattacker som involverar utplacering av en .NET skadlig kod vid namn IMAPLoader.
Tortoiseshell har varit aktivt sedan åtminstone 2018 och har en historia av strategiska webbplatskompromisser, med senaste attacker riktade mot sjöfarts-, sjöfarts- och logistiksektorerna i Medelhavet.
IMAPLoader, en ersättning för ett tidigare Python-baserat IMAP-implantat, fungerar som en nedladdare för nästa stegs nyttolaster. Den använder e-post som en kommando- och kontrollkanal, exekverar nyttolaster från e-postbilagor och distribuerar genom nya tjänstedistributioner. Hotaktören har kopplats till Islamic Revolutionary Guard Corps (IRGC) och har riktat sig mot olika industrier, inklusive frakt-, logistik- och finansiella tjänsteföretag i Israel.
De senaste attackerna, som observerades mellan 2022 och 2023, involverar inbäddning av skadlig JavaScript i komprometterade legitima webbplatser för att samla in besöksinformation. Om ett offer bedöms som högt värde, distribueras IMAPLoader som en uppföljande nyttolast.
Skadlig programvara söker efter specifika IMAP-e-postkonton och kontrollerar en felstavad postlådemapp "Recive" för körbara filer i meddelandebilagor. Dessutom använder en alternativ attackkedja ett Microsoft Excel-lockdokument för att initiera en flerstegsprocess för leverans och exekvering av IMAPLoader, som visar hotaktörens olika taktik och tekniker.
Vem är Tortoiseshell APT?
Tortoiseshell är en Advanced Persistent Threat (APT) grupp som tros vara av iranskt ursprung. APT-grupper är vanligtvis statligt sponsrade cyberhotsaktörer som genomför långsiktiga och sofistikerade cyberspionagekampanjer. Dessa grupper har ofta specifika strategiska mål och är kända för att använda avancerade tekniker för att kompromissa och infiltrera sina mål.
Tortoiseshell har varit aktiv sedan åtminstone 2018 och är associerad med Islamiska republiken Iran. Gruppen har riktat sig till olika sektorer, inklusive sjöfart, logistik, finansiella tjänster och andra industrier. Den har en historia av att använda strategiska webbplatskompromisser för att distribuera skadlig programvara och har kopplats till Islamic Revolutionary Guard Corps (IRGC), en gren av den iranska militären.
Tortoiseshells taktik involverar att använda vattenhålsattacker, där de kompromissar med legitima webbplatser för att rikta in sig på besökare med skadlig programvara, och distribuera sofistikerad skadlig programvara som IMAPLoader för att uppnå sina mål. Gruppens verksamhet har följts upp och rapporterats av olika cybersäkerhetsforskare och organisationer inom området.
