Logiciel malveillant IMAPLoader

Le groupe de cybermenace Tortoiseshell, lié à l’Iran, a été associé à une récente recrudescence des attaques de points d’eau. Ces attaques visent à libérer une souche de malware connue sous le nom d'IMAPLoader.

IMAPLoader, classé comme malware .NET, possède la capacité de profiler les systèmes cibles via des outils Windows natifs. Sa fonction principale est de servir de téléchargeur pour des charges utiles malveillantes supplémentaires. Le malware utilise le courrier électronique comme canal de commande et de contrôle (C2, C&C), lui permettant d'exécuter des charges utiles récupérées à partir des pièces jointes des courriers électroniques. De plus, il initie l'exécution par le déploiement de nouveaux services.

L'écaille de tortue est un acteur menaçant associé à de nombreuses campagnes d'attaque

En activité depuis au moins 2018, Tortoiseshell a l’habitude de recourir à des compromissions stratégiques de sites Web pour faciliter la distribution de logiciels malveillants. Début 2023, les chercheurs ont identifié le groupe comme responsable de la violation de huit sites Web liés à des sociétés de transport maritime, de logistique et de services financiers en Israël.

Cet acteur menaçant est associé au Corps des Gardiens de la révolution islamique (CGRI). Il est reconnu par la communauté plus large de la cybersécurité sous divers noms, notamment Crimson Sandstorm (anciennement Curium), Imperial Kitten, TA456 et Yellow Liderc.

Lors de la récente vague d’attaques s’étalant de 2022 à 2023, le groupe a utilisé la tactique consistant à intégrer du JavaScript menaçant dans des sites Web légitimes compromis. Cette approche visait à recueillir des informations détaillées sur les visiteurs, englobant leur emplacement, les détails de leur appareil et le moment de leurs visites.

Les cibles spécifiques de ces intrusions étaient les secteurs maritime, maritime et logistique de la région méditerranéenne. Dans certains cas, ces attaques ont conduit au déploiement d'IMAPLoader comme charge utile ultérieure, en particulier lorsque la victime était considérée comme une cible de grande valeur.

Le logiciel malveillant IMAPLoader est un composant essentiel dans une chaîne d'attaque à plusieurs étapes

IMAPLoader remplacerait un implant IMAP Tortoiseshell basé sur Python précédemment utilisé fin 2021 et début 2022, en raison des similitudes dans les fonctionnalités. Le malware agit comme un téléchargeur pour les charges utiles de l'étape suivante en interrogeant les comptes de messagerie IMAP codés en dur, en vérifiant spécifiquement un dossier de boîte aux lettres mal orthographié comme « Recive » pour récupérer les exécutables des pièces jointes des messages.

Dans une chaîne d'attaque alternative, un document leurre Microsoft Excel est utilisé comme vecteur initial pour lancer un processus en plusieurs étapes pour fournir et exécuter IMAPLoader, indiquant que l'acteur malveillant utilise de nombreuses tactiques et techniques pour atteindre ses objectifs stratégiques.

Les chercheurs ont également découvert des sites de phishing créés par Tortoiseshell, dont certains sont destinés aux secteurs du voyage et de l'hôtellerie en Europe, pour récolter des informations d'identification à l'aide de fausses pages de connexion Microsoft.

Cet acteur menaçant reste une menace active et persistante pour de nombreux secteurs et pays, notamment les secteurs maritime, maritime et logistique de la Méditerranée ; Les industries nucléaire, aérospatiale et de défense aux États-Unis et en Europe et les fournisseurs de services informatiques au Moyen-Orient. Les mises à jour incluent souvent des correctifs cruciaux pour les vulnérabilités qui pourraient être exploitées par les cybercriminels. La validation des mises à jour automatiques est un moyen pratique de garantir que votre appareil est protégé contre les menaces émergentes.