Hackergruppe Polonium nutzt Cloud-Dienste für Attacken

Eset_News

Beitrag teilen

Die Hackergruppe POLONIUM (APT) hat mit bisher unbekannten Backdoors und Cyberspionage-Tools Ziele in Israel attackiert. Für die Attacken nutzt die Gruppe meist Cloud-Dienste. Die ESET Forscher haben die Schadprogramme „Creepy“ getauft. Die Gruppe soll mit dem Iran zusammenarbeiten.

Laut Analyse der Forscher des europäischen IT-Sicherheitsherstellers haben die Hacker mindestens seit September 2021 mehr als ein Dutzend Organisationen angegriffen. Die jüngste Aktion der Gruppe fand im September 2022 statt. Zu den Zielbranchen dieser Gruppe gehören Maschinenbau, Informationstechnologie, Recht, Kommunikation, Branding und Marketing, Medien, Versicherungen und soziale Dienste.

Anzeige

Hackergruppe wohl mit Iran-Verbindungen

Laut Einschätzungen verschiedener Sicherheitsexperten handelt es sich bei POLONIUM um eine operative Gruppe mit Sitz im Libanon, die ihre Aktivitäten mit anderen Akteuren koordiniert, die wiederum mit dem iranischen Ministerium für Geheimdienst und Sicherheit verbunden sind.

„Die zahlreichen Versionen und Änderungen, die POLONIUM an seinen benutzerdefinierten Tools vorgenommen hat, zeigen, dass die Gruppe kontinuierlich und langfristig daran arbeitet, ihre Ziele auszuspionieren. ESET schließt aus ihrem Toolset, dass sie daran interessiert sind, vertrauliche Daten zu sammeln. Die Gruppe scheint nicht an Sabotage- oder Ransomware-Aktionen beteiligt zu sein“, sagt ESET-Forscher Matías Porolli, der die Malware von POLONIUM analysiert hat.

Missbrauch von Cloud-Diensten

Laut ESET Forschern ist die Hackergruppe POLONIUM sehr aktiv und verfügt über ein großes Arsenal an Malware-Tools. Diese werden von den Akteuren ständig modifiziert und neu entwickelt. Ein gemeinsames Merkmal mehrerer Tools der Gruppe ist der Missbrauch von Cloud-Diensten wie Dropbox, Mega und OneDrive für die Command & Control (C&C) -Kommunikation. Geheimdienstinformationen und öffentliche Berichte über POLONIUM sind sehr spärlich und begrenzt, wahrscheinlich weil die Angriffe der Gruppe sehr gezielt sind und der anfängliche Kompromittierungsvektor nicht bekannt ist.

Die Cyberspionage-Werkzeuge der Hackergruppe POLONIUM bestehen aus sieben maßgeschneiderten Backdoors: CreepyDrive, das die Cloud-Dienste OneDrive und Dropbox für C&C missbraucht; CreepySnail, das Befehle ausführt, die von der eigenen Infrastruktur der Angreifer empfangen werden; DeepCreep und MegaCreep, die die Dateispeicherdienste Dropbox bzw. Mega nutzen; sowie FlipCreep, TechnoCreep und PapaCreep, die Befehle von den Servern der Angreifer empfangen. Die Gruppe hat auch mehrere benutzerdefinierte Module verwendet, um ihre Ziele auszuspionieren. Diese sind in der Lage, Screenshots zu erstellen, Tastatureingaben zu protokollieren, über die Webcam zu spionieren, Reverse Shells zu öffnen, Dateien zu exfiltrieren und vieles mehr.

Viele kleine Tools für Angriffskette

„Die meisten der bösartigen Module der Gruppe sind klein und haben nur eine begrenzte Funktionalität. In einem Fall verwendeten die Angreifer ein Modul, um Screenshots zu machen, und ein anderes, um sie auf den C&C-Server hochzuladen. In ähnlicher Weise teilen sie den Code in ihren Backdoors gerne auf und verteilen die bösartigen Funktionen in verschiedene kleine DLLs, vielleicht in der Erwartung, dass Verteidiger oder Forscher nicht die gesamte Angriffskette beobachten“, erklärt Porolli.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen

Lexmark-Geräte mit fünf gefährlichen Schwachstellen

Anbieter Lexmark meldet eine kritische und vier hochgefährliche Schwachstellen für seine Geräte. Bei allen lässt sich Remote-Code ausführen, bei der ➡ Weiterlesen

Cyberspionage: Europäische Behörden im Visier – auch Deutschland

Security-Experten haben eine Cyberspionage gegen europäische Behörden entdeckt. Hinter den Angriffen stecken möglicherweise russische Gruppen die auch Behörden in Deutschland ➡ Weiterlesen

SonicWall Firewall-Appliance mit kritischer Schwachstelle

SonicWall informiert über eine kritische 9.8 Schwachstelle in der Appliance vom Typ SMA1000. SonicWall stellt ein entsprechendes Update bereit, welches ➡ Weiterlesen

Angriffe 2024: Anmeldedaten waren häufigstes Ziel

Ein Report hat Cyberattacken in 2024 analysiert und dabei festgestellt: Die meisten Angreifer brechen nicht ein, sondern loggen sich mit ➡ Weiterlesen

Microsoft Teams: E-Mail-Bombing und Voice Phishing

Cyberkriminelle missbrauchen Microsoft Teams als Einfallstor für ihre Angriffe. Sie versuchen dann Daten abzuziehen oder Ransomware zu platzieren. Mit im ➡ Weiterlesen

Bedrohungsschutz: APIs für IBM QRadar und Microsoft Sentinel

Ab sofort haben auch Nutzer von IBM QRadar SIEM und Microsoft Sentinel mittels eigener APIs Zugriff auf die umfangreichen Bedrohungsdaten ➡ Weiterlesen

Sicherheitszertifizierung FIPS 140-3 Level 3

Ein Spezialist für hardwareverschlüsselte USB-Laufwerke und die zentrale USB-Laufwerksverwaltung SafeConsole, ist mit mehreren Speichergeräten auf der FIPS 140-3 Modules-In-Process-Liste der ➡ Weiterlesen