Nhóm APT Tortoiseshell khởi động chiến dịch tấn công mới bằng mã độc IMAPLoader

0
0

 - Nhóm APT Tortoiseshell vừa thực hiện một chiến dịch tấn công sử dụng mã độc có tên IMAPLoader thông qua hình thức watering hole.

Đây là một loại mã độc chạy trên .NET, có khả năng lấy dấu vân tay của người dùng trên hệ thống nhiễm mã độc bằng cách biến các tiện ích có sẵn trên hệ điều hành Windows thành bộ tải cho các phần mềm độc hại (payload).

Mã độc này sử dụng email để liên lạc với máy chủ C&C và có khả năng thực thi các phần mềm độc hại được trích xuất từ các tệp đính kèm trong email bằng cách tạo các dịch vụ mới trên thiết bị của nạn nhân.

Nhóm APT Tortoiseshell, còn được gọi là Crimson Sandstorm, Curium, Imperial Kitten, TA456 và Yellow Liderc, có liên quan đến IRGC (Quân đội Cách mạng Hồi giáo Iran) và đã xuất hiện từ năm 2018. Vào tháng 05/2023, nhóm này đã bị phát hiện khi xâm nhập vào 8 trang web của các doanh nghiệp trong lĩnh vực vận chuyển, hậu cần và tài chính tại Israel.

Trong khoảng thời gian từ năm 2022 đến năm 2023, nhóm APT Tortoiseshell đã tiến hành nhiều chiến dịch tấn công bằng cách nhúng mã JavaScript độc hại vào các trang web chính thống sau khi xâm nhập. Mục tiêu là thu thập thông tin về người dùng đã truy cập trang web, bao gồm thông tin về vị trí, thiết bị sử dụng và thời gian truy cập.

 

Các ngành chính bị ảnh hưởng bởi cuộc tấn công này bao gồm ngành hàng hải, vận tải và hậu cần tại khu vực Địa Trung Hải. Trong một số trường hợp, khi xác định được rằng mục tiêu có giá trị thì Tortoiseshell mới tiếp tục triển khai mã độc IMAPLoader để thực hiện các cuộc tấn công cụ thể hơn.

Nhóm APT Tortoiseshell sử dụng mã độc IMAPLoader như một phiên bản thay thế cho mã độc IMAP ban đầu viết bằng Python. IMAPLoader đóng vai trò như một bộ tải cho payload giai đoạn kế tiếp bằng việc truy vấn vào các tài khoản email IMAP cố định, cụ thể hơn là quét thư mục “Recive” để tải xuống các tệp thực thi từ phần đính kèm trên email.

Trong một số các chiến dịch tấn công khác, nhóm APT Tortoiseshell sử dụng tài liệu giả mạo trên Microsoft Excel như một điểm khởi đầu để tiếp tục triển khai nhiều giai đoạn tấn công khác nhằm tải về và thực thi mã độc IMAPLoader. Điều này cho thấy Tortoiseshell đang áp dụng nhiều chiến thuật và kỹ thuật khác nhau để đạt được mục tiêu.

Ngoài ra, Tortoiseshell còn tạo ra một số trang web giả mạo trong lĩnh vực du lịch và y tế ở Châu u nhằm thu thập trái phép thông tin đăng nhập người dùng bằng các trang giả mạo của Microsoft.

Theo nhận định từ các chuyên gia bảo mật, nhóm APT Tortoiseshell vẫn tiếp tục mà một mối đe dọa tiềm ẩn đối với các doanh nghiệp trên nhiều quốc gia khác nhau trong các lĩnh vực như hàng hải, vận chuyển và hậu cần ở Địa Trung Hải; ngành hạt nhân, hàng không vũ trụ, quốc phòng tại Mỹ và châu Âu; các nhà cung cấp dịch vụ được quản lý Công nghệ thông tin tại Trung Đông.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.