被称为Tortoiseshell的伊朗威胁发起者被归因于新一波水坑攻击,这些攻击旨在部署名为 IMAPLoader 的恶意软件。
普华永道威胁情报在周三的分析中表示:“IMAPLoader 是一种 .NET 恶意软件,能够使用本机 Windows 实用程序对受害者系统进行指纹识别,并充当进一步有效负载的下载程序。”
“它使用电子邮件作为[命令和控制]渠道,能够执行从电子邮件附件中提取的有效负载,并通过新服务部署来执行。”
Tortoiseshell 至少自 2018 年以来一直活跃,有利用战略性网站入侵作为促进恶意软件传播的策略的历史。今年 5 月初,ClearSky将该组织与以色列航运、物流和金融服务公司相关的 8 个网站的入侵联系起来。
该威胁行为者与伊斯兰革命卫队 ( IRGC )结盟,并被更广泛的网络安全社区以 Crimson Sandstorm(以前称为 Curium)、Imperial Kitten、TA456 和 Yellow Liderc 等名称进行追踪。
