Đây là loại mã độc chạy trên .NET, có khả năng lấy dấu vân tay của người dùng trên hệ thống bị lây nhiễm bằng cách biến các tiện ích có sẵn trên hệ điều hành Windows thành bộ tải phần mềm độc hại (payload).
Phần mềm độc hại này sử dụng email để liên lạc với máy chủ C&C và có khả năng thực thi phần mềm độc hại được trích xuất từ tệp đính kèm email bằng cách tạo các dịch vụ mới trên thiết bị của nạn nhân.
Nhóm Tortoiseshell APT, còn được gọi là Crimson Sandstorm, Curium, Imperial Kitten, TA456 và Yellow Liderc, có liên quan đến IRGC (Quân đội Cách mạng Hồi giáo Iran) và hoạt động từ năm 2018. Vào tháng 5 năm 2023, nhóm này bị phát hiện khi xâm nhập vào 8 website của các doanh nghiệp trong lĩnh vực vận tải, logistics và tài chính tại Israel.
Từ năm 2022 đến 2023, nhóm Tortoiseshell APT đã thực hiện nhiều chiến dịch tấn công bằng cách nhúng mã JavaScript độc hại vào các trang web hợp pháp sau khi xâm nhập. Mục đích là thu thập thông tin về người dùng truy cập trang web, bao gồm thông tin về vị trí, thiết bị được sử dụng và thời gian truy cập.
Các ngành công nghiệp chính bị ảnh hưởng bởi cuộc tấn công này bao gồm ngành hàng hải, vận tải và hậu cần ở khu vực Địa Trung Hải. Trong một số trường hợp, sau khi xác định rằng mục tiêu có giá trị, Tortoiseshell sẽ tiếp tục triển khai phần mềm độc hại IMAPLoader để thực hiện các cuộc tấn công cụ thể hơn.
Nhóm Tortoiseshell APT sử dụng phần mềm độc hại IMAPLoader thay thế cho phần mềm độc hại IMAP ban đầu được viết bằng Python. IMAPLoader hoạt động như một trình tải cho tải trọng giai đoạn tiếp theo bằng cách truy vấn các tài khoản email IMAP cố định, cụ thể hơn là quét thư mục “Recive” để tải xuống các tệp thực thi từ tệp đính kèm email. .
Trong một số chiến dịch tấn công khác, nhóm Tortoiseshell APT đã sử dụng tài liệu Microsoft Excel giả mạo làm điểm khởi đầu để tiếp tục triển khai nhiều giai đoạn tấn công khác nhằm tải xuống và thực thi phần mềm độc hại IMAPLoader. Điều này cho thấy Tortoiseshell đang áp dụng nhiều chiến thuật, kỹ thuật khác nhau để đạt được mục tiêu của mình.
Ngoài ra, Tortoiseshell còn tạo ra một số trang web giả mạo trong lĩnh vực du lịch, y tế ở châu Âu nhằm thu thập trái phép thông tin đăng nhập của người dùng bằng các trang giả mạo của Microsoft.
Theo các chuyên gia bảo mật, nhóm Tortoiseshell APT tiếp tục là mối đe dọa tiềm tàng đối với các doanh nghiệp trên nhiều quốc gia khác nhau trong các lĩnh vực như hàng hải, vận tải biển và hậu cần ở Địa Trung Hải. Biển; các ngành công nghiệp hạt nhân, hàng không vũ trụ và quốc phòng ở Mỹ và Châu Âu; Các nhà cung cấp dịch vụ được quản lý về Công nghệ thông tin ở Trung Đông.
Link nguồn: https://cafef.vn/nhom-apt-tortoiseshell-khoi-dong-chien-dich-tan-cong-moi-bang-ma-doc-imaploader-188231105131557285.chn