IMAPLoader-Malware

Die mit dem Iran verbundene Cyber-Bedrohungsgruppe Tortoiseshell wurde mit einem jüngsten Anstieg von Watering-Hole-Angriffen in Verbindung gebracht. Diese Angriffe zielen darauf ab, einen Malware-Stamm namens IMAPLoader freizusetzen.

Der als .NET-Malware eingestufte IMAPLoader verfügt über die Fähigkeit, Zielsysteme über native Windows-Tools zu profilieren. Seine Hauptfunktion besteht darin, als Downloader für zusätzliche bösartige Payloads zu dienen. Die Malware nutzt E-Mail als Command-and-Control-Kanal (C2, C&C) und ermöglicht so die Ausführung von aus E-Mail-Anhängen abgerufenen Nutzlasten. Darüber hinaus initiiert es die Ausführung durch die Bereitstellung neuer Dienste.

Tortoiseshell ist ein Bedrohungsakteur, der mit zahlreichen Angriffskampagnen in Verbindung gebracht wird

Tortoiseshell ist seit mindestens 2018 tätig und kann auf eine Erfolgsgeschichte bei der strategischen Kompromittierung von Websites zurückblicken, um die Verbreitung von Malware zu erleichtern. Anfang 2023 identifizierten Forscher die Gruppe als verantwortlich für den Verstoß gegen acht Websites, die mit Schifffahrts-, Logistik- und Finanzdienstleistungsunternehmen in Israel in Verbindung stehen.

Dieser Bedrohungsakteur wird mit dem Korps der Islamischen Revolutionsgarde (IRGC) in Verbindung gebracht. Er ist in der breiteren Cybersicherheits-Community unter verschiedenen Namen bekannt, darunter Crimson Sandstorm (ehemals Curium), Imperial Kitten, TA456 und Yellow Liderc.

In der jüngsten Angriffswelle von 2022 bis 2023 nutzte die Gruppe die Taktik, bedrohliches JavaScript in kompromittierte legitime Websites einzubetten. Dieser Ansatz zielte darauf ab, detaillierte Informationen über Besucher zu sammeln, einschließlich ihres Standorts, Gerätedetails und des Zeitpunkts ihrer Besuche.

Die spezifischen Ziele dieser Eingriffe waren die See-, Schifffahrts- und Logistiksektoren im Mittelmeerraum. In bestimmten Fällen führten diese Angriffe zum Einsatz von IMAPLoader als nachfolgende Nutzlast, insbesondere wenn das Opfer als hochwertiges Ziel galt.

Die IMAPLoader-Malware ist eine wesentliche Komponente in einer mehrstufigen Angriffskette

IMAPLoader soll aufgrund der Ähnlichkeiten in der Funktionalität ein Ersatz für ein Python-basiertes IMAP-Implantat Tortoiseshell sein, das zuvor Ende 2021 und Anfang 2022 verwendet wurde. Die Malware fungiert als Downloader für Nutzlasten der nächsten Stufe, indem sie hartcodierte IMAP-E-Mail-Konten abfragt und insbesondere einen Postfachordner überprüft, der falsch als „Recive“ geschrieben ist, um die ausführbaren Dateien aus den Nachrichtenanhängen abzurufen.

In einer alternativen Angriffskette wird ein Microsoft Excel-Täuschungsdokument als erster Vektor verwendet, um einen mehrstufigen Prozess zur Bereitstellung und Ausführung von IMAPLoader anzustoßen. Dies zeigt, dass der Bedrohungsakteur zahlreiche Taktiken und Techniken nutzt, um seine strategischen Ziele zu erreichen.

Forscher haben auch von Tortoiseshell erstellte Phishing-Sites entdeckt, von denen einige auf den Reise- und Gastgewerbesektor in Europa abzielen, um mithilfe gefälschter Microsoft-Anmeldeseiten Anmeldeinformationen zu sammeln.

Dieser Bedrohungsakteur bleibt eine aktive und anhaltende Bedrohung für viele Branchen und Länder, einschließlich der See-, Schifffahrts- und Logistikbranche im Mittelmeerraum. Nuklear-, Luft- und Raumfahrt- und Verteidigungsindustrien in den USA und Europa sowie IT-verwaltete Dienstleister im Nahen Osten. Updates enthalten häufig wichtige Korrekturen für Schwachstellen, die von Cyberkriminellen ausgenutzt werden könnten. Die Validierung automatischer Updates ist eine praktische Möglichkeit, um sicherzustellen, dass Ihr Gerät gegen neue Bedrohungen gewappnet ist.