IMAPLoader マルウェア

イランと関係のあるサイバー脅威グループ Tortoiseshell は、最近の水飲み場攻撃の急増に関連していると考えられています。これらの攻撃は、IMAPLoader として知られるマルウェアを解き放つことを目的としています。

.NET マルウェアとして分類される IMAPLoader は、ネイティブ Windows ツールを通じてターゲット システムをプロファイリングする機能を備えています。その主な機能は、追加の悪意のあるペイロードのダウンローダーとして機能することです。このマルウェアはコマンド アンド コントロール (C2、C&C) チャネルとして電子メールを使用し、電子メールの添付ファイルから取得したペイロードを実行できるようにします。さらに、新しいサービスの展開を通じて実行を開始します。

Tortoiseshell は、数多くの攻撃キャンペーンに関連する脅威アクターです

Tortoiseshell は少なくとも 2018 年から活動しており、マルウェアの配布を促進するために Web サイトを戦略的に侵害してきた実績があります。 2023 年初頭、研究者らはこのグループがイスラエルの海運、物流、金融サービス会社に関連する 8 つの Web サイトへの侵害に関与していると特定しました。

この脅威アクターはイスラム革命防衛隊 (IRGC) と関連しています。彼は、Crimson Sandstorm (以前は Curium)、Imperial Kitten、TA456、Yellow Liderc など、さまざまな名前で広範なサイバーセキュリティ コミュニティに認識されています。

2022 年から 2023 年にかけて続いた最近の攻撃の波では、このグループは侵害された正規 Web サイトに脅威となる JavaScript を埋め込む戦術を利用しました。このアプローチは、訪問者の位置、デバイスの詳細、訪問のタイミングなど、訪問者に関する詳細情報を収集することを目的としていました。

これらの侵入の具体的な標的は、地中海地域の海運、海運、物流部門でした。場合によっては、これらの攻撃により、特に被害者が価値の高いターゲットであるとみなされた場合、後続のペイロードとして IMAPLoader の展開が引き起こされました。

IMAPLoader マルウェアは多段階の攻撃チェーンにおいて不可欠なコンポーネントです

IMAPLoader は、機能の類似性により、2021 年末から 2022 年初めにかけて以前に使用されていた Python ベースの IMAP インプラント Tortoiseshell の代替となると言われています。このマルウェアは、ハードコーディングされた IMAP 電子メール アカウントをクエリすることにより、次の段階のペイロードのダウンローダーとして機能します。具体的には、「Recive」とスペルが間違っているメールボックス フォルダーをチェックして、メッセージの添付ファイルから実行可能ファイルを取得します。

別の攻撃チェーンでは、Microsoft Excel おとりドキュメントが初期ベクトルとして使用され、IMAPLoader を配信して実行する多段階プロセスを開始します。これは、脅威アクターが戦略的目標を実現するために多数の戦術やテクニックを使用していることを示しています。

研究者らはまた、Tortoiseshell が作成したフィッシング サイトを発見しました。その一部はヨーロッパ内の旅行および接客業をターゲットにしており、偽の Microsoft サインイン ページを使用して資格情報の収集を行っています。

この脅威アクターは、地中海の海運、海運、物流部門を含む多くの産業や国に対して、依然として活発かつ持続的な脅威となっています。米国とヨーロッパの原子力、航空宇宙、防衛産業、中東の IT 管理サービス プロバイダー。アップデートには、サイバー犯罪者によって悪用される可能性のある脆弱性に対する重要な修正が含まれることがよくあります。自動更新を検証することは、デバイスが新たな脅威に対して強化されていることを確認する便利な方法です。