被称为Tortoiseshell的伊朗威胁行为者被归因于新一波的水坑攻击,这些攻击旨在部署一种名为IMAPLoader的恶意软件。
普华永道威胁情报团队在周三的一份分析报告中表示:“IMAPLoader是一种.NET恶意软件,它能够使用本机Windows实用程序对受害者系统进行指纹识别,并充当进一步有效载荷的下载器。”
“它使用电子邮件作为[命令和控制]通道,能够执行从电子邮件附件中提取的有效载荷,并通过新的服务部署执行。”
Tortoiseshell至少从2018年开始活跃,有使用战略网站妥协作为促进恶意软件分发的策略的历史。今年5月早些时候,ClearSky将该集团与以色列与航运,物流和金融服务公司相关的八个网站的违规行为联系起来。
该威胁行为者与伊斯兰革命卫队(IRGC)结盟,并被更广泛的网络安全社区以Crimson Sandstorm(以前的Curium),Imperial Kitten,TA 456和Yellow Liderc的名义跟踪。
2022年至2023年之间的最新一组攻击需要在受损的合法网站中嵌入恶意JavaScript,以收集有关访问者的更多详细信息,包括他们的位置,设备信息和访问时间。
这些入侵主要集中在地中海的海事、航运和物流部门,在某些情况下,如果受害者被视为高价值目标,则会部署IMAPLoader作为后续有效载荷。
据称,IMAPLoader将取代此前在2021年底和2022年初使用的基于Python的IMAP植入体Tortoiseshell,原因是功能上的相似性。
该恶意软件通过查询硬编码的IMAP电子邮件帐户,特别是检查拼写错误为“Recive”的邮箱文件夹,以从邮件附件中检索可执行文件,从而充当下一阶段有效负载的下载程序。
在另一个攻击链中,Microsoft Excel诱饵文档被用作启动多阶段过程的初始向量,以交付和执行IMAPLoader,这表明威胁行为者正在使用各种战术和技术来实现其战略目标。
普华永道表示,它还发现了由Tortoiseshell创建的钓鱼网站,其中一些针对欧洲的旅游和酒店行业,使用虚假的微软登录页面进行凭据收集。
“这种威胁行为者仍然是许多行业和国家的积极和持续威胁,包括地中海地区的海事,航运和物流部门;美国和欧洲的核,航空航天和国防工业;以及中东的IT管理服务提供商,”普华永道说。
稿源:TheHackerNews.com、翻译:游侠安全网
