İranlı Grup Tortoiseshell, Yeni IMAPLoader Kötü Amaçlı Yazılım Saldırıları Dalgasını Başlattı
Kaplumbağa Kabuğu olarak bilinen İranlı tehdit aktörü, IMAPLoader adlı bir kötü amaçlı yazılım dağıtmak için tasarlanmış yeni bir watering hole saldırı dalgasına bağlandı.
PwC Tehdit İstihbaratı ekibi çarşamba günü yaptığı bir analizde, "IMAPLoader, yerel Windows yardımcı programlarını kullanarak kurban sistemlerinin parmak izini alma yeteneğine sahip ve daha fazla yük için indirici görevi gören bir .NET kötü amaçlı yazılımıdır" dedi.
"E-postayı bir [komut ve kontrol] kanalı olarak kullanıyor ve e-posta eklerinden çıkarılan yükleri yürütebiliyor ve yeni hizmet dağıtımları aracılığıyla yürütülüyor."
En az 2018'den beri aktif olan Tortoiseshell, kötü amaçlı yazılımların dağıtımını kolaylaştırmak için stratejik web sitesi uzlaşmalarını bir hile olarak kullanma geçmişine sahiptir. Bu Mayıs ayının başlarında ClearSky, grubu İsrail'deki nakliye, lojistik ve finansal hizmetler şirketleriyle ilişkili sekiz web sitesinin ihlaliyle ilişkilendirdi.
Tehdit aktörü, İslam Devrim Muhafızları Birliği (IRGC) ile uyumludur ve ayrıca Crimson Sandstorm (önceden Curium), Imperial Kitten, TA456 ve Yellow Liderc adları altında daha geniş siber güvenlik topluluğu tarafından izlenmektedir.
2022 ve 2023 arasındaki en son saldırı seti, ziyaretçiler hakkında konumları, cihaz bilgileri ve ziyaret saatleri dahil olmak üzere daha fazla ayrıntı toplamak için güvenliği ihlal edilmiş meşru web sitelerine kötü amaçlı JavaScript yerleştirmeyi gerektiriyor.
Bu izinsiz girişler öncelikle Akdeniz'deki denizcilik, nakliye ve lojistik sektörlerine odaklandı ve bazı durumlarda kurbanın yüksek değerli bir hedef olarak kabul edilmesi durumunda IMAPLoader'ın bir takip yükü olarak konuşlandırılmasına yol açtı.
IMAPLoader'ın, işlevsellikteki benzerlikler nedeniyle daha önce 2021'in sonlarında ve 2022'nin başlarında kullanılan Python tabanlı bir IMAP implantı Tortoiseshell'in yerini alacağı söyleniyor.
Kötü amaçlı yazılım, sabit kodlanmış IMAP e-posta hesaplarını sorgulayarak, özellikle mesaj eklerinden yürütülebilir dosyaları almak için "Recive" olarak yanlış yazılmış bir posta kutusu klasörünü kontrol ederek sonraki aşama yükleri için bir indirici görevi görür.
Alternatif bir saldırı zincirinde, tehdit aktörünün stratejik hedeflerini gerçekleştirmek için çeşitli taktikler ve teknikler kullandığını gösteren, IMAPLoader'ı sunmak ve yürütmek için çok aşamalı bir süreci başlatmak için ilk vektör olarak bir Microsoft Excel tuzak belgesi kullanılır.
PwC, Tortoiseshell tarafından oluşturulan, bazıları Avrupa'daki seyahat ve konaklama sektörlerini hedef alan kimlik avı sitelerini de keşfettiğini ve sahte Microsoft oturum açma sayfalarını kullanarak kimlik bilgisi toplamayı gerçekleştirdiğini söyledi.
"Bu tehdit aktörü, Akdeniz'deki denizcilik, denizcilik ve lojistik sektörleri de dahil olmak üzere birçok endüstri ve ülke için aktif ve kalıcı bir tehdit olmaya devam ediyor; ABD ve Avrupa'da nükleer, havacılık ve savunma endüstrileri; ve Orta Doğu'daki BT tarafından yönetilen hizmet sağlayıcıları," dedi PwC.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı