Группа Tortoiseshell: угроза кибербезопасности на Ближнем Востоке

Недавний отчет о киберугрозах выявляет опасную деятельность иранской группы кибершпионажа Tortoiseshell, действующей под эгидой Корпуса стражей исламской революции (КСИР). Эта группа, известная также как TA456, Imperial Kitten, Crimson Sandstorm или DustyCave, активно действует с июля 2018 года и представляет собой серьезную угрозу для множества секторов, особенно на Ближнем Востоке.

История и сфера деятельности Tortoiseshell

Группа Tortoiseshell изначально фокусировалась на ИТ-провайдерах в Саудовской Аравии, но вскоре расширила свои операции, охватив следующие области:

• Технологии
• Оборона
• Неправительственные организации
• Государственный сектор
• Финансовые учреждения
• Транспорт

Последние разведывательные данные от компании Mandiant указывают на то, что Tortoiseshell продолжает шпионить за аэрокосмическим и оборонным секторами, активность которых зафиксирована уже с лета 2022 года.

Стратегии кибератак

Группа использует сложные тактики, включая:

• Атаки на цепочки поставок для компрометации ИТ-провайдеров;
• Длительные кампании по социальной инженерии для укрепления доверия к целям;
• Фишинг-рассылки с вредоносными вложениями

Одним из характерных приемов является создание фальшивых персонажей в социальных сетях, что позволяет им взаимодействовать с сотрудниками оборонных подрядчиков. Эти взаимодействия могут привести к рассылке документов с вредоносным ПО или вредоносных ссылок и проникновению в защищенные сети.

Методы вишинга и вредоносного ПО

Tortoiseshell активно использует фишинг, и их электронные письма часто содержат вложения, замаскированные под законные документы, используя уязвимости в программном обеспечении, например, в продуктах Microsoft Office и Adobe. При этом группа прибегает к специфическим методам, таким как:

• Использование вредоносного ПО LEMPO;
• Использование специального имплантата IMAPLoader для скрытной командно-диспетчерской связи;
• Размещение вредоносных файлов в облачных сервисах, таких как Dropbox и Google Drive.

Рекомендации по повышению безопасности

С учетом активных действий Tortoiseshell организации, особенно в целевых секторах, должны принять следующие меры для укрепления защиты:

• Внедрение передовых решений для фильтрации электронной почты;
• Обучение сотрудников распознаванию фишинга;
• Упреждающий мониторинг активности в домене;
• Регулярное тестирование планов реагирования на инциденты;
• Обеспечение безопасного резервного копирования данных;
• Использование решений для анализа угроз для своевременного обнаружения и реагирования.

Таким образом, Tortoiseshell представляет собой значительную угрозу, особенно для организаций, чьи интересы пересекаются с геополитической ситуацией в регионе. Необходим активный и многогранный подход к кибербезопасности для борьбы с такими кибершпионскими группами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.