Cyberthreat.id – Hacker Iran yang dikenal sebagai Tortoiseshell dikaitkan dengan gelombang baru serangan yang dirancang untuk menyebarkan malware yang dijuluki IMAPLoader.

“IMAPLoader adalah malware .NET yang memiliki kemampuan untuk mengambil sidik jari sistem korban menggunakan utilitas asli Windows dan bertindak sebagai pengunduh untuk muatan selanjutnya,” kata PwC Threat Intelligence dalam analisisnya pada hari Rabu kepada The Hacker News.

“Ia menggunakan email sebagai saluran [perintah dan kontrol] dan mampu mengeksekusi muatan yang diambil dari lampiran email dan dieksekusi melalui penerapan layanan baru.”

Aktif setidaknya sejak 2018, Tortoiseshell memiliki sejarah menggunakan kompromi situs web strategis sebagai taktik untuk memfasilitasi distribusi malware.

Awal Mei ini, ClearSky menghubungkan kelompok tersebut dengan pelanggaran delapan situs web yang terkait dengan perusahaan pelayaran, logistik, dan jasa keuangan di Israel.

Pelaku ancaman ini bekerja sama dengan Korps Garda Revolusi Islam (IRGC) dan juga dilacak oleh komunitas keamanan siber yang lebih luas dengan nama Crimson Sandstorm (sebelumnya Curium), Imperial Kitten, TA456, dan Yellow Liderc.

Rangkaian serangan terbaru antara tahun 2022 dan 2023 melibatkan penyematan JavaScript berbahaya di situs web resmi yang telah disusupi untuk mengumpulkan lebih banyak detail tentang pengunjung, termasuk lokasi mereka, informasi perangkat, dan waktu kunjungan.

Intrusi-intrusi ini terutama terfokus pada sektor maritim, pelayaran dan logistik di Mediterania, yang dalam beberapa kasus mengarah pada penerapan IMAPLoader sebagai muatan lanjutan jika korban dianggap sebagai target bernilai tinggi.

IMAPLoader dikatakan sebagai pengganti implan IMAP berbasis Python Tortoiseshell yang sebelumnya digunakan pada akhir tahun 2021 dan awal tahun 2022, karena kesamaan fungsinya.

Malware ini bertindak sebagai pengunduh untuk payload tahap berikutnya dengan menanyakan akun email IMAP yang dikodekan secara keras, khususnya memeriksa folder kotak surat yang salah eja sebagai "Recive" untuk mengambil executable dari lampiran pesan.

Dalam rantai serangan alternatif, dokumen umpan Microsoft Excel digunakan sebagai vektor awal untuk memulai proses multi-tahap untuk mengirimkan dan mengeksekusi IMAPLoader, yang menunjukkan bahwa pelaku ancaman menggunakan berbagai taktik dan teknik untuk mewujudkan tujuan strategisnya.

PwC mengatakan pihaknya juga menemukan situs phishing yang dibuat oleh Tortoiseshell, beberapa di antaranya ditujukan untuk sektor perjalanan dan perhotelan di Eropa, untuk melakukan pengambilan kredensial menggunakan halaman masuk Microsoft palsu.

“Pelaku ancaman ini tetap menjadi ancaman yang aktif dan terus-menerus terhadap banyak industri dan negara, termasuk sektor maritim, pelayaran, dan logistik di Mediterania; industri nuklir, kedirgantaraan, dan pertahanan di AS dan Eropa; dan penyedia layanan yang dikelola TI di wilayah Timur Tengah," kata PwC.[]