De Iraanse dreigingsacteur bekend als Schildpad wordt toegeschreven aan een nieuwe golf van watergataanvallen die zijn ontworpen om een malware genaamd IMAPLoader in te zetten.
“IMAPLoader is een .NET-malware die de mogelijkheid heeft om vingerafdrukken van systemen van slachtoffers te maken met behulp van native Windows-hulpprogramma’s en fungeert als downloader voor verdere payloads”, aldus de PwC Threat Intelligence in een analyse van woensdag.
“Het gebruikt e-mail als een [command-and-control] kanaal en kan payloads uitvoeren die zijn geëxtraheerd uit e-mailbijlagen en wordt uitgevoerd via nieuwe service-implementaties.”
Tortoiseshell is actief sinds minstens 2018 en heeft een geschiedenis van het gebruik van strategische website-compromissen als een truc om de verspreiding van malware te vergemakkelijken. Eerder dit jaar bracht ClearSky de groep in verband met de inbreuk op acht websites die verband houden met scheepvaart-, logistieke en financiële dienstverleners in Israël.
De dreigingsactor sluit zich aan bij de Islamitische Revolutionaire Garde (IRGC) en wordt ook gevolgd door de bredere cyberbeveiligingsgemeenschap onder de namen Crimson Sandstorm (voorheen Curium), Imperial Kitten, TA456 en Yellow Liderc.
De nieuwste reeks aanvallen tussen 2022 en 2023 omvat het insluiten van kwaadaardig JavaScript in gecompromitteerde legitieme websites om meer details over de bezoekers te verzamelen, waaronder hun locatie, apparaatinformatie en tijdstip van bezoeken.
Deze inbraken waren vooral gericht op de maritieme, scheepvaart- en logistieke sectoren in het Middellandse Zeegebied, wat in sommige gevallen leidde tot de inzet van IMAPLoader als vervolglading mocht het slachtoffer als een waardevol doelwit worden beschouwd.
IMAPLoader zou een vervanging zijn van een op Python gebaseerd IMAP-implantaat Tortoiseshell dat eerder eind 2021 en begin 2022 werd gebruikt, vanwege de overeenkomsten in de functionaliteit.
De malware fungeert als downloader voor payloads in de volgende fase door hardgecodeerde IMAP-e-mailaccounts te ondervragen, waarbij met name een mailboxmap wordt gecontroleerd die verkeerd is gespeld als “Recive” om de uitvoerbare bestanden uit de berichtbijlagen op te halen.
In een alternatieve aanvalsketen wordt een Microsoft Excel-lokmiddel gebruikt als een eerste vector om een meerfasig proces op gang te brengen om IMAPLoader af te leveren en uit te voeren, wat aangeeft dat de bedreigingsacteur een verscheidenheid aan tactieken en technieken gebruikt om zijn strategische doelen te realiseren. .
PwC zei dat het ook phishing-sites ontdekte die door Tortoiseshell waren gemaakt, waarvan sommige gericht zijn op de reis- en horecasector in Europa, om inloggegevens te verzamelen met behulp van valse Microsoft-inlogpagina’s.
“Deze bedreigingsactoren blijven een actieve en aanhoudende bedreiging voor veel industrieën en landen, waaronder de maritieme, scheepvaart- en logistieke sectoren in het Middellandse Zeegebied; de nucleaire, ruimtevaart- en defensie-industrieën in de VS en Europa; en IT-beheerde dienstverleners in het Midden-Oosten. Oost”, aldus PwC.
