IMAPLoader 恶意软件与伊朗威胁行为者有关
被称为 Tortoiseshell 的伊朗威胁攻击者(也被称为 Crimson Sandstorm、Imperial Kitten、TA456 和 Yellow Liderc)被归因于新一波水坑攻击,涉及部署名为 IMAPLoader 的 .NET 恶意软件。
Tortoiseshell 至少从 2018 年开始活跃,有战略网站被入侵的历史,最近的攻击针对地中海的海事、航运和物流部门。
IMAPLoader 是之前基于 Python 的 IMAP 植入的替代品,充当下一阶段有效负载的下载器。它使用电子邮件作为命令和控制通道,执行电子邮件附件中的有效负载并通过新服务部署进行部署。该威胁行为者与伊斯兰革命卫队 (IRGC) 有联系,并针对多个行业,包括以色列的航运、物流和金融服务公司。
2022 年至 2023 年间观察到的最新攻击涉及在受感染的合法网站中嵌入恶意 JavaScript 以收集访问者详细信息。如果受害者被认为具有高价值,则将 IMAPLoader 部署为后续有效负载。
该恶意软件会查询特定的 IMAP 电子邮件帐户,检查拼写错误的邮箱文件夹“Recive”中是否有邮件附件中的可执行文件。此外,替代攻击链使用 Microsoft Excel 诱饵文档启动 IMAPLoader 交付和执行的多阶段过程,展示威胁行为者的不同策略和技术。
Tortoiseshell APT 是谁?
Tortoiseshell 是一个高级持续威胁 (APT) 组织,据信起源于伊朗。 APT 组织通常是国家支持的网络威胁行为者,开展长期且复杂的网络间谍活动。这些组织通常有特定的战略目标,并以使用先进技术危害和渗透其目标而闻名。
Tortoiseshell 至少自 2018 年以来一直活跃,并与伊朗伊斯兰共和国有关。该集团瞄准了多个行业,包括航运、物流、金融服务等行业。它有利用战略网站妥协来传播恶意软件的历史,并与伊朗军队的一个分支伊斯兰革命卫队 (IRGC) 有联系。
Tortoiseshell 的策略包括使用水坑攻击(水坑攻击),利用恶意软件攻击合法网站,以访问者为目标,并部署 IMAPLoader 等复杂的恶意软件来实现其目标。该组织的活动受到该领域各种网络安全研究人员和组织的监控和报告。
