Seorang peretas Iran dengan username Tortoiseshell terlibat dalam gelombang serangan baru yang dirancang untuk menyebarkan malware yang disebut IMAPLoader..
“IMAPLoader adalah malware .NET yang mampu mengidentifikasi sistem korban menggunakan utilitas asli Windows dan bertindak sebagai pengunduh untuk muatan berikutnya”, kata PwC Threat Intelligence dalam analisisnya, yang dilansir dari laporan The Hacker News.
Baca Juga : Ditemukan Eksploitasi Safari Baru Berdampak pada Apple iPhone dan Mac dengan CPU Seri A dan M
“Ia menggunakan email sebagai saluran [perintah dan kontrol] dan mampu mengeksekusi muatan yang diambil dari lampiran email dan dieksekusi melalui penerapan layanan baru.”
Aktif setidaknya sejak tahun 2018, Tortoiseshell memiliki sejarah menggunakan kompromi situs web strategis sebagai taktik untuk memfasilitasi distribusi malware. Pada awal Mei, ClearSky mengaitkan kelompok tersebut dengan pembobolan delapan situs web yang terkait dengan perusahaan pelayaran, logistik, dan jasa keuangan di Israel.
Aktor ancaman ini bekerja sama dengan Korps Garda Revolusi Islam (IRGC) dan juga dilacak oleh komunitas keamanan siber yang lebih luas seperti Crimson Sandstorm (sebelumnya Curium), Imperial Kitten, TA456, dan Yellow Liderc.
Rangkaian serangan terbaru dari tahun 2022 hingga 2023 melibatkan penyematan JavaScript berbahaya ke situs web sah yang telah disusupi untuk mengumpulkan detail tambahan tentang pengunjung, termasuk lokasi, informasi perangkat, dan waktu akses.
Intrusi ini terutama terfokus pada sektor pelayaran, transportasi dan logistik di Mediterania, dalam beberapa kasus mengarah pada penerapan IMAPLoader sebagai muatan pelacakan jika korban dianggap sebagai target Pepper yang bernilai tinggi. IMAPLoader akan menjadi pengganti implan IMAP berbasis Python Tortoiseshell yang sebelumnya diterapkan pada akhir tahun 2021 dan awal tahun 2022, karena kesamaan fungsinya.
Malware ini bertindak sebagai pengunduh untuk payload tahap berikutnya dengan menanyakan akun email IMAP yang dikodekan secara keras, khususnya memeriksa folder kotak surat yang salah eja sebagai ” Recive” untuk mengambil file yang dapat dieksekusi dari lampiran email.
Baca Juga : BI akan Lakukan Upaya Memperkuat Keamanan Siber Infrastruktur Sistem Keuangan Negara
Dalam rantai serangan alternatif, dokumen Microsoft Excel umpan digunakan sebagai vektor awal untuk memulai proses multi-langkah untuk mengirimkan dan mengeksekusi IMAPLoader, yang menunjukkan bahwa pelaku ancaman menggunakan beberapa strategi, teknik dan teknik berbeda untuk mencapai tujuan strategisnya.
PwC mengatakan pihaknya juga menemukan situs web phishing yang dibuat oleh Tortoiseshell, beberapa di antaranya menargetkan industri perjalanan dan perhotelan di Eropa, untuk mengumpulkan kredensial menggunakan situs login Microsoft palsu.
“Pelaku ancaman ini tetap menjadi ancaman aktif dan terus-menerus terhadap banyak sektor dan negara, termasuk sektor maritim, pelayaran dan logistik di Mediterania; industri nuklir, kedirgantaraan dan pertahanan di Amerika Serikat dan Eropa; dan mengelola penyedia layanan TI di kawasan Timur Tengah,” kata PwC.
