伊朗组织 Tortoiseshell 发起新一波 IMAPLoader 恶意软件攻击

被称为Tortoiseshell的伊朗威胁发起者被归因于新一波水坑攻击，这些攻击旨在部署名为 IMAPLoader 的恶意软件。

普华永道威胁情报在周三的分析中表示：“IMAPLoader 是一种 .NET 恶意软件，能够使用本机 Windows 实用程序对受害者系统进行指纹识别，并充当进一步有效负载的下载程序。”

“它使用电子邮件作为[命令和控制]渠道，能够执行从电子邮件附件中提取的有效负载，并通过新服务部署来执行。”

Tortoiseshell 至少自 2018 年以来一直活跃，有利用战略性网站入侵作为促进恶意软件传播的策略的历史。今年 5 月初，ClearSky将该组织与以色列航运、物流和金融服务公司相关的 8 个网站的入侵联系起来。

该威胁行为者与伊斯兰革命卫队 ( IRGC )结盟，并被更广泛的网络安全社区以 Crimson Sandstorm（以前称为 Curium）、Imperial Kitten、TA456 和 Yellow Liderc 等名称进行追踪。

2022 年至 2023 年之间的最新一组攻击需要在受感染的合法网站中嵌入恶意 JavaScript，以收集有关访问者的更多详细信息，包括他们的位置、设备信息和访问时间。

这些入侵主要集中在地中海的海事、航运和物流部门，在某些情况下，如果受害者被视为高价值目标，则会部署 IMAPLoader 作为后续有效负载。

据称，由于功能相似，IMAPLoader 可以替代之前在 2021 年底和 2022 年初使用的基于 Python 的 IMAP 植入 Tortoiseshell。

该恶意软件通过查询硬编码的IMAP 电子邮件帐户，特别是检查拼写错误为“Recive”的邮箱文件夹，充当下一阶段有效负载的下载程序，以从消息附件中检索可执行文件。

在替代攻击链中，Microsoft Excel 诱饵文档被用作初始向量来启动多阶段流程来交付和执行 IMAPLoader，这表明威胁行为者正在使用各种策略和技术来实现其战略目标。

普华永道表示，它还发现了 Tortoiseshell 创建的网络钓鱼网站，其中一些针对欧洲境内的旅游和酒店行业，利用虚假的微软登录页面进行凭据收集。

“这个威胁行为者仍然对许多行业和国家构成积极和持续的威胁，包括地中海的海事、航运和物流部门；美国和欧洲的核工业、航空航天和国防工业；以及中东地区的 IT 管理服务提供商东，”普华永道说。