El grupo de hackers POLONIUM (APT) ha atacado objetivos en Israel con puertas traseras y herramientas de espionaje cibernético previamente desconocidas. El grupo utiliza principalmente servicios en la nube para los ataques. Los investigadores de ESET han denominado al malware "Creepy". Se dice que el grupo está trabajando con Irán.
Según el análisis de los investigadores del fabricante europeo de seguridad informática, los hackers han atacado a más de una decena de organizaciones desde al menos septiembre de 2021. La acción más reciente del grupo tuvo lugar en septiembre de 2022. Las industrias objetivo de este grupo incluyen ingeniería, tecnología de la información, legal, comunicaciones, marca y marketing, medios, seguros y servicios sociales.
Grupo de hackers probablemente con conexiones con Irán
Según varios expertos en seguridad, POLONIUM es un grupo operativo con sede en Líbano que coordina sus actividades con otros actores vinculados al Ministerio de Inteligencia y Seguridad iraní.
“Las numerosas versiones y cambios que POLONIUM ha realizado en sus herramientas personalizadas muestran que el grupo está trabajando continuamente y a largo plazo para espiar a sus objetivos. ESET concluye a partir de su conjunto de herramientas que están interesados en recopilar datos confidenciales. El grupo no parece estar involucrado en ninguna acción de sabotaje o ransomware”, dice el investigador de ESET Matías Porolli, quien analizó el malware de POLONIUM.
Mal uso de los servicios en la nube
Según los investigadores de ESET, el grupo de hackers POLONIUM es muy activo y tiene un gran arsenal de herramientas de malware. Estos están siendo modificados y desarrollados constantemente por los actores. Un rasgo común de varias de las herramientas del grupo es el abuso de los servicios en la nube como Dropbox, Mega y OneDrive para las comunicaciones de Command & Control (C&C). La información de inteligencia y los informes públicos sobre POLONIUM son muy escasos y limitados, probablemente porque los ataques del grupo están muy dirigidos y se desconoce el vector inicial de compromiso.
Las herramientas de espionaje cibernético del grupo de piratería POLONIUM consisten en siete puertas traseras hechas a la medida: CreepyDrive, que abusa de los servicios en la nube OneDrive y Dropbox para C&C; CreepySnail, que ejecuta comandos recibidos de la propia infraestructura de los atacantes; DeepCreep y MegaCreep, que utilizan los servicios de almacenamiento de archivos de Dropbox y Mega, respectivamente; así como FlipCreep, TechnoCreep y PapaCreep, que reciben comandos de los servidores de los atacantes. El grupo también ha utilizado varios módulos personalizados para espiar a sus objetivos. Estos pueden tomar capturas de pantalla, registrar pulsaciones de teclas, espiar a través de la cámara web, abrir shells inversos, filtrar archivos y mucho más.
Muchas herramientas pequeñas para la cadena de ataque.
“La mayoría de los módulos maliciosos del grupo son pequeños y tienen una funcionalidad limitada. En un caso, los atacantes usaron un módulo para tomar capturas de pantalla y otro para subirlas al servidor de C&C. Del mismo modo, les gusta dividir el código en sus puertas traseras y distribuir las funciones maliciosas en varias DLL pequeñas, tal vez con la expectativa de que los defensores o investigadores no observen toda la cadena de ataque", explica Porolli.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.