L’acteur iranien connu sous le nom de Écaille de tortue a été attribué à une nouvelle vague d’attaques de points d’eau conçues pour déployer un malware baptisé IMAPLoader.
« IMAPLoader est un malware .NET qui a la capacité d’identifier les systèmes victimes à l’aide d’utilitaires Windows natifs et qui agit comme un téléchargeur pour d’autres charges utiles », indique PwC Threat Intelligence. dit dans une analyse de mercredi.
« Il utilise le courrier électronique comme [command-and-control] canal et est capable d’exécuter des charges utiles extraites des pièces jointes des e-mails et est exécuté via de nouveaux déploiements de services.
Actif depuis au moins 2018, Tortoiseshell a l’habitude d’utiliser les compromissions stratégiques de sites Web comme stratagème pour faciliter la distribution de logiciels malveillants. Plus tôt en mai, ClearSky a lié le groupe à la violation de huit sites Web associés à des sociétés de transport maritime, de logistique et de services financiers en Israël.
L’acteur menaçant est aligné sur le Corps des Gardiens de la révolution islamique (CGRI) et est également suivi par la communauté plus large de la cybersécurité sous les noms Crimson Sandstorm (anciennement Curium), Imperial Kitten, TA456 et Yellow Liderc.
La dernière série d’attaques entre 2022 et 2023 implique l’intégration de JavaScript malveillant dans des sites Web légitimes compromis pour recueillir plus de détails sur les visiteurs, notamment leur emplacement, les informations sur l’appareil et l’heure des visites.
Ces intrusions se sont concentrées principalement sur les secteurs maritime, maritime et logistique en Méditerranée, conduisant dans certains cas au déploiement d’IMAPLoader comme charge utile de suivi si la victime était considérée comme une cible de grande valeur.
IMAPLoader serait un remplacement d’un implant IMAP Tortoiseshell basé sur Python précédemment utilisé fin 2021 et début 2022, en raison des similitudes dans les fonctionnalités.
Le malware agit comme un téléchargeur pour les charges utiles de l’étape suivante en interrogeant les fichiers codés en dur Comptes de messagerie IMAPen vérifiant spécifiquement un dossier de boîte aux lettres mal orthographié comme « Recive » pour récupérer les exécutables des pièces jointes du message.
Dans une chaîne d’attaque alternative, un document leurre Microsoft Excel est utilisé comme vecteur initial pour lancer un processus en plusieurs étapes pour fournir et exécuter IMAPLoader, indiquant que l’acteur malveillant utilise diverses tactiques et techniques pour atteindre ses objectifs stratégiques. .
PwC a déclaré avoir également découvert des sites de phishing créés par Tortoiseshell, dont certains sont destinés aux secteurs du voyage et de l’hôtellerie en Europe, pour collecter des informations d’identification à l’aide de fausses pages de connexion Microsoft.
« Cet acteur malveillant reste une menace active et persistante pour de nombreux secteurs et pays, notamment les secteurs maritime, maritime et logistique de la Méditerranée ; les industries nucléaire, aérospatiale et de défense aux États-Unis et en Europe ; et les prestataires de services informatiques du Moyen-Orient. Est », a déclaré PwC.