IMAPLoader 惡意軟體與伊朗威脅行為者有關
被稱為 Tortoiseshell 的伊朗威脅攻擊者(也被稱為 Crimson Sandstorm、Imperial Kitten、TA456 和 Yellow Liderc)被歸因於新一波水坑攻擊,涉及部署名為 IMAPLoader 的 .NET 惡意軟體。
Tortoiseshell 至少從 2018 年開始活躍,有戰略網站被入侵的歷史,最近的攻擊針對地中海的海事、航運和物流部門。
IMAPLoader 是先前基於 Python 的 IMAP 植入的替代品,可作為下一階段有效負載的下載器。它使用電子郵件作為命令和控制通道,執行電子郵件附件中的有效負載並透過新服務部署進行部署。該威脅行為者與伊斯蘭革命衛隊 (IRGC) 有聯繫,並針對多個行業,包括以色列的航運、物流和金融服務公司。
2022 年至 2023 年間觀察到的最新攻擊涉及在受感染的合法網站中嵌入惡意 JavaScript 以收集訪客詳細資料。如果受害者被認為具有高價值,則將 IMAPLoader 部署為後續有效負載。
該惡意軟體會查詢特定的 IMAP 電子郵件帳戶,檢查拼字錯誤的郵箱資料夾「Recive」中是否有郵件附件中的可執行檔。此外,替代攻擊鏈使用 Microsoft Excel 誘餌文件啟動 IMAPLoader 交付和執行的多階段流程,展示威脅行為者的不同策略和技術。
Tortoiseshell APT 是誰?
Tortoiseshell 是一個進階持續性威脅 (APT) 組織,據信起源於伊朗。 APT 組織通常是國家支持的網路威脅行為者,進行長期且複雜的網路間諜活動。這些組織通常有特定的策略目標,並以使用先進技術危害和滲透其目標而聞名。
Tortoiseshell 至少自 2018 年以來一直活躍,並與伊朗伊斯蘭共和國有關。該集團瞄準了多個行業,包括航運、物流、金融服務等行業。它有利用戰略網站妥協來傳播惡意軟體的歷史,並與伊朗軍隊的一個分支伊斯蘭革命衛隊 (IRGC) 有聯繫。
Tortoiseshell 的策略包括使用水坑攻擊(水坑攻擊),利用惡意軟體攻擊合法網站,以訪客為目標,並部署 IMAPLoader 等複雜的惡意軟體來實現其目標。該組織的活動受到該領域各種網路安全研究人員和組織的監控和報告。
