El actor de amenazas iraní conocido como Carey se ha atribuido a una nueva ola de ataques de abrevadero que están diseñados para implementar un malware denominado IMAPLoader.
«IMAPLoader es un malware .NET que tiene la capacidad de tomar huellas dactilares de los sistemas de las víctimas utilizando utilidades nativas de Windows y actúa como un descargador de cargas útiles adicionales», PwC Threat Intelligence dicho en un análisis del miércoles.
«Utiliza el correo electrónico como [command-and-control] canal y es capaz de ejecutar cargas útiles extraídas de archivos adjuntos de correo electrónico y se ejecuta a través de nuevas implementaciones de servicios».
Activo desde al menos 2018, Tortoiseshell tiene un historial de uso de ataques estratégicos a sitios web como estrategia para facilitar la distribución de malware. A principios de mayo, ClearSky vinculó al grupo con la violación de ocho sitios web asociados con empresas de transporte, logística y servicios financieros en Israel.
El actor de amenazas está alineado con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) y también es rastreado por la comunidad de ciberseguridad en general bajo los nombres Crimson Sandstorm (anteriormente Curium), Imperial Kitten, TA456 y Yellow Liderc.
El último conjunto de ataques entre 2022 y 2023 implica la incorporación de JavaScript malicioso en sitios web legítimos comprometidos para recopilar más detalles sobre los visitantes, incluida su ubicación, información del dispositivo y hora de las visitas.
Estas intrusiones se centraron principalmente en los sectores marítimo, marítimo y logístico en el Mediterráneo, y en algunos casos llevaron al despliegue de IMAPLoader como carga útil de seguimiento en caso de que la víctima fuera considerada un objetivo de alto valor.
Se dice que IMAPLoader es un reemplazo de un implante IMAP Tortoiseshell basado en Python utilizado anteriormente a finales de 2021 y principios de 2022, debido a las similitudes en la funcionalidad.
El malware actúa como un descargador de cargas útiles de la siguiente etapa mediante consultas codificadas Cuentas de correo electrónico IMAPespecíficamente revisando una carpeta del buzón mal escrita como «Recibir» para recuperar los archivos ejecutables de los archivos adjuntos del mensaje.
En una cadena de ataque alternativa, se utiliza un documento señuelo de Microsoft Excel como vector inicial para iniciar un proceso de varias etapas para entregar y ejecutar IMAPLoader, lo que indica que el actor de la amenaza está utilizando una variedad de tácticas y técnicas para lograr sus objetivos estratégicos. .
PwC dijo que también descubrió sitios de phishing creados por Tortoiseshell, algunos de los cuales están dirigidos a los sectores de viajes y hotelería en Europa, para realizar la recolección de credenciales utilizando páginas de inicio de sesión falsas de Microsoft.
«Este actor de amenazas sigue siendo una amenaza activa y persistente para muchas industrias y países, incluidos los sectores marítimo, marítimo y logístico dentro del Mediterráneo; las industrias nuclear, aeroespacial y de defensa en los EE. UU. y Europa; y los proveedores de servicios gestionados de TI en el Medio Oriente. Oriente», dijo PwC.