İranlı Grup Tortoiseshell, Yeni IMAPLoader Kötü Amaçlı Yazılım Saldırıları Dalgasını Başlattı

PwC Tehdit İstihbaratı ekibi çarşamba günü yaptığı bir analizde, "IMAPLoader, yerel Windows yardımcı programlarını kullanarak kurban sistemlerinin parmak izini alma yeteneğine sahip ve daha fazla yük için indirici görevi gören bir .NET kötü amaçlı yazılımıdır" dedi.

"E-postayı bir [komut ve kontrol] kanalı olarak kullanıyor ve e-posta eklerinden çıkarılan yükleri yürütebiliyor ve yeni hizmet dağıtımları aracılığıyla yürütülüyor."

En az 2018'den beri aktif olan Tortoiseshell, kötü amaçlı yazılımların dağıtımını kolaylaştırmak için stratejik web sitesi uzlaşmalarını bir hile olarak kullanma geçmişine sahiptir. Bu Mayıs ayının başlarında ClearSky, grubu İsrail'deki nakliye, lojistik ve finansal hizmetler şirketleriyle ilişkili sekiz web sitesinin ihlaliyle ilişkilendirdi.

Tehdit aktörü, İslam Devrim Muhafızları Birliği (IRGC) ile uyumludur ve ayrıca Crimson Sandstorm (önceden Curium), Imperial Kitten, TA456 ve Yellow Liderc adları altında daha geniş siber güvenlik topluluğu tarafından izlenmektedir.

2022 ve 2023 arasındaki en son saldırı seti, ziyaretçiler hakkında konumları, cihaz bilgileri ve ziyaret saatleri dahil olmak üzere daha fazla ayrıntı toplamak için güvenliği ihlal edilmiş meşru web sitelerine kötü amaçlı JavaScript yerleştirmeyi gerektiriyor.

Bu izinsiz girişler öncelikle Akdeniz'deki denizcilik, nakliye ve lojistik sektörlerine odaklandı ve bazı durumlarda kurbanın yüksek değerli bir hedef olarak kabul edilmesi durumunda IMAPLoader'ın bir takip yükü olarak konuşlandırılmasına yol açtı.

IMAPLoader'ın, işlevsellikteki benzerlikler nedeniyle daha önce 2021'in sonlarında ve 2022'nin başlarında kullanılan Python tabanlı bir IMAP implantı Tortoiseshell'in yerini alacağı söyleniyor.

Kötü amaçlı yazılım, sabit kodlanmış IMAP e-posta hesaplarını sorgulayarak, özellikle mesaj eklerinden yürütülebilir dosyaları almak için "Recive" olarak yanlış yazılmış bir posta kutusu klasörünü kontrol ederek sonraki aşama yükleri için bir indirici görevi görür.

Alternatif bir saldırı zincirinde, tehdit aktörünün stratejik hedeflerini gerçekleştirmek için çeşitli taktikler ve teknikler kullandığını gösteren, IMAPLoader'ı sunmak ve yürütmek için çok aşamalı bir süreci başlatmak için ilk vektör olarak bir Microsoft Excel tuzak belgesi kullanılır.

PwC, Tortoiseshell tarafından oluşturulan, bazıları Avrupa'daki seyahat ve konaklama sektörlerini hedef alan kimlik avı sitelerini de keşfettiğini ve sahte Microsoft oturum açma sayfalarını kullanarak kimlik bilgisi toplamayı gerçekleştirdiğini söyledi.

"Bu tehdit aktörü, Akdeniz'deki denizcilik, denizcilik ve lojistik sektörleri de dahil olmak üzere birçok endüstri ve ülke için aktif ve kalıcı bir tehdit olmaya devam ediyor; ABD ve Avrupa'da nükleer, havacılık ve savunma endüstrileri; ve Orta Doğu'daki BT tarafından yönetilen hizmet sağlayıcıları," dedi PwC.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği