Η ιρανική ομάδα Tortoiseshell εξαπολύει νέα κύματα επιθέσεων IMAPLoader Malware

Η Ιρανική ομάδα hacking Tortoiseshell, κρύβεται πίσω από τις νέες επιθέσεις watering hole που έχουν σχεδιαστεί για το deploy ενός malware που ονομάζεται IMAPLoader.

Δείτε επίσης: Οι Ιρανοί hackers OilRig έμειναν για 8 μήνες σε κυβερνητικό δίκτυο της Μέσης Ανατολής

Τι αναφέρει η PwC Threat Intelligence για την Tortoiseshell και τις τεχνικές της

«To IMAPLoader είναι malware μορφής .NET και είναι ικανό να αποκρυπτογραφήσει και να δημιουργήσει κλώνους στα συστήματα λειτουργικών Windows. Αντικαταστάτης του πρώην IMAP, βασιζόμενου στην γλώσσα προγραμματισμού Python, το πλέον ανανεωμένο IMAPLoader, χρησιμοποιώντας τις εγχώριες υπηρεσίες που παρέχονται από την Microsoft, προσποιείται να είναι μία από αυτές, όπως είναι για παράδειγμα ένας downloader» μας αναφέρει η PwC Threat Intelligence στην ανάλυση της.   

Η ανάλυση, μάλιστα, μας μεταφέρει ότι «Ανακτά τον έλεγχο χρησιμοποιώντας τα ελεγχόμενα κανάλια της, να αναζητούν κωδικοποιημένους λογαριασμούς email IMAP. Έπειτα η ομάδα Tortoiseshell καταφέρνει παριστάνοντας τον downloader να αποσπά και να ανακτά τα εκτελέσιμα αρχεία και τα δεδομένα από τα συνημμένα των email των θυμάτων της».

Δείτε επίσης: Ρεκόρ κυβερνοεπιθέσεων εναντίον μικρών επιχειρήσεων

Πού καταλήγουν οι malware επιθέσεις;

Η ομάδα Tortoiseshell εντοπίστηκε επίσης να χρησιμοποιεί και τις γνωστές «phishing» ιστοσελίδες, με στόχο τους ιατροφαρμακευτικούς και ταξιδιωτικούς τομείς, κατά κύριο λόγο στην Ευρώπη.

Με αυτές τις μεθόδους και ένα ιστορικό γεμάτο από κατασκοπεία και στρατηγικής σημασίας malware επιθέσεις σε Ισραηλινές υπηρεσίες και ιστοσελίδες, σχετικές με χρηματοοικονομικούς, λογιστικούς και μεταφορικούς σκοπούς, οι χάκερς της Tortoiseshell κλέβουν «χρυσές» πληροφορίες

.

Μεταξύ του 2022 και του 2023, η ομάδα Tortoiseshell εισέβαλλε στον κώδικα JavaScript εγκεκριμένων Ισραηλινών ιστοσελίδων και περισύλλεξε λεπτομερείς πληροφορίες για τους επισκέπτες τους, των συσκευών τους, ακόμη και τις ώρες αφίξεων τους.

Δείτε ακόμα: Apple και Google απενεργοποίησαν τους χάρτες live traffic σε Ισραήλ και Γάζα

Το γκρουπ Tortoiseshell είναι εν ενεργεία από το 2018 και είναι ευθυγραμμιζόμενο με το Islamic Revolutionary Guard Corps (IRGC), ένα ειδικό σώμα του στρατού του Ιράν. Αξίζει να αναφέρουμε ότι τα παρατσούκλια, επιβεβαιωμένα από την παγκοσμίως αναγνωρισμένη κοινότητα κυβερνοασφάλειας, ανέρχονται σε Crimson Sandstorm (προηγουμένως Curium), Imperial Kitten, TA456 και τέλος Liderc.

Δείτε επίσης: Ιρανοί hackers στοχεύουν οργανισμούς με password spraying επιθέσεις

Οι Ιρανοί χάκερς επίμονοι και σταθεροί με τις επιθέσεις τους τείνουν να απειλούν πολλές βιομηχανίες σε χώρες της Μεσόγειου με τους προαναφερόμενους σκοπούς και όχι μόνο. Οι malware επιθέσεις που εξαπολύει η ομάδα Tortoiseshell, φαίνεται να διασχίζουν ολόκληρους ωκεανούς και να επηρεάζουν πυρηνικές, αεροδιαστημικές και αμυντικές βιομηχανίες των ΗΠΑ. Δεν φαίνεται να δείχνουν έλεος ακόμα και σε πάροχους υπηρεσιών διαχείρισης πληροφορικής στην Μέση Ανατολή, όπου και ανήκουν.

Πηγή: thehackernews.com