Home Sociedad El grupo iraní Tortoiseshell lanza una nueva ola de ataques de malware...

El grupo iraní Tortoiseshell lanza una nueva ola de ataques de malware IMAPLoader

El actor de amenazas iraní conocido como Tortoiseshell ha sido atribuido a una nueva ola de ataques de abrevadero que están diseñados para implementar un malware denominado IMAPLoader.

Activo desde al menos 2018, Tortoiseshell tiene un historial de uso de ataques estratégicos a sitios web como estrategia para facilitar la distribución de malware. A principios de mayo, ClearSky vinculó al grupo con la violación de ocho sitios web asociados con empresas de transporte, logística y servicios financieros en Israel.

El actor de amenazas está alineado con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) y también es rastreado por la comunidad de ciberseguridad más amplia bajo los nombres Crimson Sandstorm (anteriormente Curium), Imperial Kitten, TA456 y Yellow Liderc.

El último conjunto de ataques entre 2022 y 2023 implica la incorporación de JavaScript malicioso en sitios web legítimos comprometidos para recopilar más detalles sobre los visitantes, incluida su ubicación, información del dispositivo y hora de las visitas.

Estas intrusiones se centraron principalmente en los sectores marítimo, marítimo y logístico en el Mediterráneo, y en algunos casos llevaron al despliegue de IMAPLoader como carga útil de seguimiento en caso de que la víctima fuera considerada un objetivo de alto valor.

Se dice que IMAPLoader es un reemplazo de un implante IMAP Tortoiseshell basado en Python utilizado anteriormente a finales de 2021 y principios de 2022, debido a las similitudes en la funcionalidad.

El malware actúa como un descargador de cargas útiles de la siguiente etapa al consultar cuentas de correo electrónico IMAP codificadas, específicamente verificando una carpeta de buzón mal escrita como “Recibir” para recuperar los archivos ejecutables de los archivos adjuntos del mensaje.

En una cadena de ataque alternativa, se utiliza un documento señuelo de Microsoft Excel como vector inicial para iniciar un proceso de varias etapas para entregar y ejecutar IMAPLoader, lo que indica que el actor de la amenaza está utilizando una variedad de tácticas y técnicas para lograr sus objetivos estratégicos.