Die Hackergruppe POLONIUM (APT) hat mit bisher unbekannten Backdoors und Cyberspionage-Tools Ziele in Israel attackiert. Für die Attacken nutzt die Gruppe meist Cloud-Dienste. Die ESET Forscher haben die Schadprogramme „Creepy“ getauft. Die Gruppe soll mit dem Iran zusammenarbeiten.
Laut Analyse der Forscher des europäischen IT-Sicherheitsherstellers haben die Hacker mindestens seit September 2021 mehr als ein Dutzend Organisationen angegriffen. Die jüngste Aktion der Gruppe fand im September 2022 statt. Zu den Zielbranchen dieser Gruppe gehören Maschinenbau, Informationstechnologie, Recht, Kommunikation, Branding und Marketing, Medien, Versicherungen und soziale Dienste.
Hackergruppe wohl mit Iran-Verbindungen
Laut Einschätzungen verschiedener Sicherheitsexperten handelt es sich bei POLONIUM um eine operative Gruppe mit Sitz im Libanon, die ihre Aktivitäten mit anderen Akteuren koordiniert, die wiederum mit dem iranischen Ministerium für Geheimdienst und Sicherheit verbunden sind.
„Die zahlreichen Versionen und Änderungen, die POLONIUM an seinen benutzerdefinierten Tools vorgenommen hat, zeigen, dass die Gruppe kontinuierlich und langfristig daran arbeitet, ihre Ziele auszuspionieren. ESET schließt aus ihrem Toolset, dass sie daran interessiert sind, vertrauliche Daten zu sammeln. Die Gruppe scheint nicht an Sabotage- oder Ransomware-Aktionen beteiligt zu sein“, sagt ESET-Forscher Matías Porolli, der die Malware von POLONIUM analysiert hat.
Missbrauch von Cloud-Diensten
Laut ESET Forschern ist die Hackergruppe POLONIUM sehr aktiv und verfügt über ein großes Arsenal an Malware-Tools. Diese werden von den Akteuren ständig modifiziert und neu entwickelt. Ein gemeinsames Merkmal mehrerer Tools der Gruppe ist der Missbrauch von Cloud-Diensten wie Dropbox, Mega und OneDrive für die Command & Control (C&C) -Kommunikation. Geheimdienstinformationen und öffentliche Berichte über POLONIUM sind sehr spärlich und begrenzt, wahrscheinlich weil die Angriffe der Gruppe sehr gezielt sind und der anfängliche Kompromittierungsvektor nicht bekannt ist.
Die Cyberspionage-Werkzeuge der Hackergruppe POLONIUM bestehen aus sieben maßgeschneiderten Backdoors: CreepyDrive, das die Cloud-Dienste OneDrive und Dropbox für C&C missbraucht; CreepySnail, das Befehle ausführt, die von der eigenen Infrastruktur der Angreifer empfangen werden; DeepCreep und MegaCreep, die die Dateispeicherdienste Dropbox bzw. Mega nutzen; sowie FlipCreep, TechnoCreep und PapaCreep, die Befehle von den Servern der Angreifer empfangen. Die Gruppe hat auch mehrere benutzerdefinierte Module verwendet, um ihre Ziele auszuspionieren. Diese sind in der Lage, Screenshots zu erstellen, Tastatureingaben zu protokollieren, über die Webcam zu spionieren, Reverse Shells zu öffnen, Dateien zu exfiltrieren und vieles mehr.
Viele kleine Tools für Angriffskette
„Die meisten der bösartigen Module der Gruppe sind klein und haben nur eine begrenzte Funktionalität. In einem Fall verwendeten die Angreifer ein Modul, um Screenshots zu machen, und ein anderes, um sie auf den C&C-Server hochzuladen. In ähnlicher Weise teilen sie den Code in ihren Backdoors gerne auf und verteilen die bösartigen Funktionen in verschiedene kleine DLLs, vielleicht in der Erwartung, dass Verteidiger oder Forscher nicht die gesamte Angriffskette beobachten“, erklärt Porolli.
Mehr bei ESET.com
Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.