27/10/23
Иранская хакерская группа под псевдонимом Tortoiseshell (дословно «черепаший панцирь») была замечена специалистами компании PwC в новой серии атак, целью которых является развёртывание вредоносного программного обеспечения под названием IMAPLoader.
IMAPLoader — это вредоносное ПО на основе .NET, способное идентифицировать системы жертв с помощью стандартных утилит Windows, поянсяют в Securitylab. Оно действует как загрузчик дополнительных модулей и использует электронную почту в качестве канала управления. Кроме того, IMAPLoader может запускать вредоносные модули, извлечённые из вложений электронной почты.
С 2018 года Tortoiseshell активно использует уязвимости веб-сайтов для распространения своего вредоносного ПО. В мае этого года группа была связана с взломом восьми сайтов, связанных с судоходством, логистикой и финансовыми услугами в Израиле.
Хакеры этой группировки также известны под именами Crimson Sandstorm, Imperial Kitten, TA456, Yellow Liderc и считаются союзниками Корпуса стражей исламской революции (IRGC).
Последняя серия атак Tortoiseshell в период с 2022 по 2023 год включает внедрение вредоносного JavaScript-кода на взломанные законные веб-сайты для сбора дополнительной информации о посетителях, включая их местоположение, информацию об устройстве и время посещений. Основное внимание киберпреступников было уделено секторам судоходства и логистики в Средиземноморье.
IMAPLoader, как утверждается, является заменой IMAP-имплантата на базе Python, который группа Tortoiseshell использовала ранее. IMAPLoader действует как загрузчик вредоносного ПО следующего этапа, запрашивая жёстко запрограммированные учётные записи электронной почты IMAP, чтобы извлечь исполняемые файлы из вложений в письмах.
В одной из схем атак используется документ Microsoft Excel в качестве стартового вектора для запуска многоэтапного процесса доставки и выполнения IMAPLoader. Это указывает на то, что хакеры используют различные тактики и методы для реализации своих стратегических целей.
Эксперты PwC также обнаружили фишинговые сайты, созданные Tortoiseshell, некоторые из которых ориентированы на секторы путешествий и гостеприимства в Европе. В PwC отдельно подчеркнули тот факт, что данная хакерская группировка продолжает представлять реальную опасность для многих отраслей и стран, включая Средиземноморье, США и Европу.
