Le groupe de hackers POLONIUM (APT) a attaqué des cibles en Israël avec des portes dérobées et des outils de cyberespionnage jusqu'alors inconnus. Le groupe utilise principalement des services cloud pour les attaques. Les chercheurs d'ESET ont surnommé le malware "Creepy". Le groupe travaillerait avec l'Iran.
Selon l'analyse des chercheurs du fabricant européen de sécurité informatique, les pirates ont attaqué plus d'une douzaine d'organisations depuis au moins septembre 2021. La dernière action du groupe a eu lieu en septembre 2022. Les industries cibles de ce groupe comprennent l'ingénierie, les technologies de l'information, le droit, les communications, l'image de marque et le marketing, les médias, les assurances et les services sociaux.
Groupe de hackers probablement avec des connexions iraniennes
Selon divers experts en sécurité, POLONIUM est un groupe opérationnel basé au Liban qui coordonne ses activités avec d'autres acteurs liés au ministère iranien du renseignement et de la sécurité.
« Les nombreuses versions et modifications que POLONIUM a apportées à ses outils personnalisés montrent que le groupe travaille en continu et sur le long terme pour espionner ses cibles. ESET conclut de leur ensemble d'outils qu'ils sont intéressés par la collecte de données confidentielles. Le groupe ne semble pas être impliqué dans des actions de sabotage ou de rançongiciel », déclare Matías Porolli, chercheur chez ESET, qui a analysé le logiciel malveillant de POLONIUM.
Utilisation abusive des services cloud
Selon les chercheurs d'ESET, le groupe de piratage POLONIUM est très actif et dispose d'un large arsenal d'outils malveillants. Celles-ci sont constamment modifiées et développées par les acteurs. Un trait commun à plusieurs des outils du groupe est l'abus de services cloud tels que Dropbox, Mega et OneDrive pour les communications Command & Control (C&C). Les informations de renseignement et les rapports publics sur POLONIUM sont très rares et limités, probablement parce que les attaques du groupe sont très ciblées et que le vecteur initial de compromission est inconnu.
Les outils de cyberespionnage du groupe de piratage POLONIUM se composent de sept portes dérobées sur mesure : CreepyDrive, qui abuse des services cloud OneDrive et Dropbox pour C&C ; CreepySnail, qui exécute les commandes reçues de la propre infrastructure des attaquants ; DeepCreep et MegaCreep, qui utilisent respectivement les services de stockage de fichiers Dropbox et Mega ; ainsi que FlipCreep, TechnoCreep et PapaCreep, qui reçoivent des commandes des serveurs des attaquants. Le groupe a également utilisé plusieurs modules personnalisés pour espionner ses cibles. Ceux-ci sont capables de prendre des captures d'écran, d'enregistrer les frappes au clavier, d'espionner via webcam, d'ouvrir des shells inversés, d'exfiltrer des fichiers et bien plus encore.
De nombreux petits outils pour la chaîne d'attaque
« La plupart des modules malveillants du groupe sont petits et ont des fonctionnalités limitées. Dans un cas, les attaquants ont utilisé un module pour prendre des captures d'écran et un autre pour les télécharger sur le serveur C&C. De même, ils aiment diviser le code de leurs portes dérobées et répartir les fonctions malveillantes dans diverses petites DLL, peut-être dans l'espoir que les défenseurs ou les chercheurs n'observeront pas l'intégralité de la chaîne d'attaque », explique Porolli.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.