Výskumníci spoločnosti ESET zistili, že skupina POLONIUM blízka Iránu zaútočila na viac ako desiatku firiem v Izraeli z viacerých odvetví. Medzi obeťami sú organizácie z oblastí ako strojárstvo, IT či marketing. Kampaň zaznamenal ESET naposledy v septembri 2022.
Skupina zbiera citlivé údaje
ESET sa zameral na doposiaľ nezdokumentované backdoory a špionážne nástroje, ktoré APT skupina POLONIUM použila vo svojej kampani. Spoločným znakom, ktorý charakterizuje niekoľko nástrojov, je zneužívanie cloudových služieb ako Dropbox, Mega či OneDrive na komunikáciu s riadiacim strediskom.
„Množstvo verzií a zmien, ktoré nachádzame pri skúmaní vlastných nástrojov skupiny POLONIUM, ukazuje pretrvávajúcu a dlhodobú snahu o špehovanie obetí. Vzhľadom na využité nástroje sa domnievame, že útočníci sa zaujímajú o zber citlivých údajov,” vysvetľuje Matías Porolli, výskumník spoločnosti ESET, ktorý analyzoval škodlivý kód.
Spravodajské aj verejné informácie o cieľoch skupiny POLONIUM sú veľmi strohé a obmedzené, pravdepodobne z dôvodu, že útoky tejto skupiny sú mimoriadne cielené a prvotný vektor útoku je neznámy. Nič však nenasvedčuje tomu, že by cieľom útočníkov bolo vydieranie ransomvérom alebo kybernetická sabotáž.
Špionážnu skupinu POLONIUM prvýkrát odhalila v júni 2022 spoločnosť Microsoft. Zistila, že skupina má sídlo v Libanone a koordinuje svoje aktivity s ďalšími aktérmi spájanými s Iránskym ministerstvom spravodajských služieb a bezpečnosti.
Vlastné špionážne nástroje
Výskumníci spoločnosti ESET zistili, že súbor nástrojov, ktoré využíva skupina POLONIUM, pozostáva zo siedmych vlastných backdoorov. Sú nimi:
- CreepyDrive, ktorý zneužíva cloudové služby OneDrive a Dropbox na komunikáciu s riadiacim strediskom,
- CreepySnail, ktorý vykonáva príkazy z vlastnej infraštruktúry útočníkov,
- DeepCreep a MegaCreep, ktoré zneužívajú úložiská Dropbox a Mega,
- FlipCreep, TechnoCreep a PapaCreep, ktoré dostávajú príkazy zo serverov útočníkov.
V arzenáli skupiny sú aj nástroje na vyhotovovanie snímok obrazovky, zaznamenávanie stlačení klávesnice, sledovanie cez webovú kameru, otváranie reverse shellov či vynášanie súborov.
Zaujímavé je, že vo väčšine prípadov skupina vykonáva rôzne špecifické funkcie prostredníctvom malých modulov. Útočníci napríklad použili jeden modul na vyhotovenie snímok obrazovky a ďalší na ich nahratie na riadiaci server. V podobnom duchu rozdeľujú kód vo svojich backdooroch, pričom rozmiestňujú škodlivé funkcie do viacerých malých DLL knižníc. Podľa Matiasa Porolliho je za tým snaha o sťaženie zmapovania celej schémy útoku.
Viac technických informácií nájdete na stránke WeLiveSecurity.
