Nhóm APT Tortoiseshell khởi động chiến dịch tấn công mới bằng mã độc IMAPLoader

Nhóm APT Tortoiseshell vừa thực hiện một chiến dịch tấn công sử dụng mã độc có tên IMAPLoader thông qua hình thức watering hole.

Đây là một loại mã độc chạy trên .NET, có khả năng lấy dấu vân tay của người dùng trên hệ thống nhiễm mã độc bằng cách biến các tiện ích có sẵn trên hệ điều hành Windows thành bộ tải cho các phần mềm độc hại (payload).

Mã độc này sử dụng email để liên lạc với máy chủ C&C và có khả năng thực thi các phần mềm độc hại được trích xuất từ các tệp đính kèm trong email bằng cách tạo các dịch vụ mới trên thiết bị của nạn nhân.

Nhóm APT Tortoiseshell, còn được gọi là Crimson Sandstorm, Curium, Imperial Kitten, TA456 và Yellow Liderc, có liên quan đến IRGC (Quân đội Cách mạng Hồi giáo Iran) và đã xuất hiện từ năm 2018. Vào tháng 05/2023, nhóm này đã bị phát hiện khi xâm nhập vào 8 trang web của các doanh nghiệp trong lĩnh vực vận chuyển, hậu cần và tài chính tại Israel.

Trong khoảng thời gian từ năm 2022 đến năm 2023, nhóm APT Tortoiseshell đã tiến hành nhiều chiến dịch tấn công bằng cách nhúng mã JavaScript độc hại vào các trang web chính thống sau khi xâm nhập. Mục tiêu là thu thập thông tin về người dùng đã truy cập trang web, bao gồm thông tin về vị trí, thiết bị sử dụng và thời gian truy cập.

Các ngành chính bị ảnh hưởng bởi cuộc tấn công này bao gồm ngành hàng hải, vận tải và hậu cần tại khu vực Địa Trung Hải. Trong một số trường hợp, khi xác định được rằng mục tiêu có giá trị thì Tortoiseshell mới tiếp tục triển khai mã độc IMAPLoader để thực hiện các cuộc tấn công cụ thể hơn.

Nhóm APT Tortoiseshell sử dụng mã độc IMAPLoader như một phiên bản thay thế cho mã độc IMAP ban đầu viết bằng Python. IMAPLoader đóng vai trò như một bộ tải cho payload giai đoạn kế tiếp bằng việc truy vấn vào các tài khoản email IMAP cố định, cụ thể hơn là quét thư mục “Recive” để tải xuống các tệp thực thi từ phần đính kèm trên email.

Trong một số các chiến dịch tấn công khác, nhóm APT Tortoiseshell sử dụng tài liệu giả mạo trên Microsoft Excel như một điểm khởi đầu để tiếp tục triển khai nhiều giai đoạn tấn công khác nhằm tải về và thực thi mã độc IMAPLoader. Điều này cho thấy Tortoiseshell đang áp dụng nhiều chiến thuật và kỹ thuật khác nhau để đạt được mục tiêu.

Ngoài ra, Tortoiseshell còn tạo ra một số trang web giả mạo trong lĩnh vực du lịch và y tế ở Châu u nhằm thu thập trái phép thông tin đăng nhập người dùng bằng các trang giả mạo của Microsoft.

Theo nhận định từ các chuyên gia bảo mật, nhóm APT Tortoiseshell vẫn tiếp tục mà một mối đe dọa tiềm ẩn đối với các doanh nghiệp trên nhiều quốc gia khác nhau trong các lĩnh vực như hàng hải, vận chuyển và hậu cần ở Địa Trung Hải; ngành hạt nhân, hàng không vũ trụ, quốc phòng tại Mỹ và châu Âu; các nhà cung cấp dịch vụ được quản lý Công nghệ thông tin tại Trung Đông.