Iranische Gruppe Tortoiseshell startet neue Angriffswelle
Die iranische Hackergruppe Tortoiseshell wird nun mit einer neu aufgetretenen Welle von Watering-Hole-Angriffen assoziiert, bei denen das Ziel die Implementierung der Schadsoftware IMAPLoader ist. IMAPLoader ist eine .NET-Malware, die in der Lage ist, Fingerabdrücke von Opfersystemen mithilfe nativer Windows-Dienstprogramme zu erstellen und als Downloader für weitere Nutzlasten zu fungieren.
„IMAPLoader nutzt E-Mails als [Befehls- und Kontroll-]Kanal und ist in der Lage, aus E-Mail-Anhängen extrahierte Nutzdaten auszuführen. Der Loader selbst wird über neue Dienstbereitstellungen ausgeführt“, so das PwC Threat Intelligence-Team in einer aktuellen Analyse.
Tortoiseshell ist seit mindestens 2018 aktiv. In der Vergangenheit hat die Gruppe strategisch Websites kompromittiert, um die Verbreitung von Malware zu unterstützen. Im frühen Mai dieses Jahres wurde sie von ClearSky mit dem Hack von acht Unternehmens-Websites aus den Bereichen Versand, Logistik und Finanzdienstleistungen in Israel in Verbindung gebracht. Solche Watering-Hole-Angriffe zielen auf Internetnutzer in einer bestimmten Branche oder Funktion. Dabei identifizieren die Angreifer, welche Webseiten Angestellte eines Unternehmens häufig besuchen, und infizieren diese mit Website-Malware.
Der Bedrohungsakteur ist mit dem Korps der Islamischen Revolutionsgarden (IRGC) verbündet und wird von der breiteren Cybersicherheitsgemeinschaft auch unter den Namen Crimson Sandstorm (früher Curium), Imperial Kitten, TA456 und Yellow Liderc verfolgt. Bei den jüngsten Angriffen zwischen 2022 und 2023 wurde bösartiges JavaScript in kompromittierte legitime Websites eingebettet, um mehr Details über die Besucher zu sammeln, einschließlich ihres Standorts, ihrer Geräteinformationen und der Besuchszeit.
Diese Angriffe konzentrierten sich in erster Linie auf den Seefahrts-, Schifffahrts- und Logistiksektor im Mittelmeerraum und führten in einigen Fällen zum Einsatz von IMAPLoader als Folge-Nutzlast, falls das Opfer als hochrangiges Ziel eingestuft wurde. IMAPLoader soll wegen ähnlicher Funktionen als Ersatz für das Python-basierte IMAP-Implantat Tortoiseshell zum Einsatz gekommen sein, das Ende 2021 und Anfang 2022 verwendet wurde.
Die Malware fungiert als Downloader für die nächste Stufe der Nutzlast, indem sie fest kodierte IMAP-E-Mail-Konten abfragt und insbesondere einen als „Recive“ falsch geschriebenen Mailbox-Ordner überprüft, um die ausführbaren Dateien aus den Nachrichtenanhängen zu erhalten.
In einer anderen Angriffskette wird eine als Microsoft Excel-Dokument getarnte Datei als anfänglicher Vektor verwendet, um einen mehrstufigen Prozess zur Bereitstellung und Ausführung von IMAPLoader in Gang zu setzen. Das deutet darauf hin, dass der Bedrohungsakteur eine Vielzahl von Taktiken und Techniken einsetzt, um seine strategischen Ziele zu erreichen.
PwC hat auch von Tortoiseshell erstellte Phishing-Seiten entdeckt, von denen einige auf den Reise- und Gastgewerbesektor in Europa abzielen, um Anmeldedaten mit gefälschten Microsoft-Anmeldeseiten zu sammeln. „Dieser Bedrohungsakteur ist nach wie vor eine aktive und anhaltende Gefahr für viele Branchen und Länder, einschließlich des See-, Schifffahrts- und Logistiksektors im Mittelmeerraum, der Nuklear-, Luft- und Raumfahrt- sowie der Verteidigungsindustrie in den USA und Europa und der Anbieter von IT-verwalteten Serviceprovidern im Nahen Osten“, so PwC.