Il gruppo di hacker POLONIUM (APT) ha attaccato obiettivi in Israele con backdoor e strumenti di spionaggio informatico precedentemente sconosciuti. Il gruppo utilizza principalmente servizi cloud per gli attacchi. I ricercatori ESET hanno soprannominato il malware "Creepy". Si dice che il gruppo stia lavorando con l'Iran.
Secondo l'analisi dei ricercatori del produttore europeo di sicurezza informatica, gli hacker hanno attaccato più di una dozzina di organizzazioni almeno da settembre 2021. L'azione più recente del gruppo ha avuto luogo nel settembre 2022. I settori target di questo gruppo includono ingegneria, informatica, legale, comunicazioni, branding e marketing, media, assicurazioni e servizi sociali.
Gruppo di hacker probabilmente con collegamenti con l'Iran
Secondo vari esperti di sicurezza, POLONIUM è un gruppo operativo con sede in Libano che coordina le sue attività con altri attori legati al Ministero dell'Intelligence e della Sicurezza iraniano.
“Le numerose versioni e modifiche che POLONIUM ha apportato ai suoi strumenti personalizzati dimostrano che il gruppo sta lavorando continuamente ea lungo termine per spiare i propri obiettivi. ESET conclude dal proprio set di strumenti che è interessata a raccogliere dati riservati. Il gruppo non sembra essere coinvolto in azioni di sabotaggio o ransomware", afferma il ricercatore ESET Matías Porolli, che ha analizzato il malware di POLONIUM.
Uso improprio dei servizi cloud
Secondo i ricercatori ESET, il gruppo di hacking POLONIUM è molto attivo e dispone di un ampio arsenale di strumenti malware. Questi vengono costantemente modificati e sviluppati di recente dagli attori. Un tratto comune di molti degli strumenti del gruppo è l'abuso di servizi cloud come Dropbox, Mega e OneDrive per le comunicazioni Command & Control (C&C). Le informazioni di intelligence e i rapporti pubblici su POLONIUM sono molto scarsi e limitati, probabilmente perché gli attacchi del gruppo sono altamente mirati e il vettore iniziale di compromissione è sconosciuto.
Gli strumenti di spionaggio informatico del gruppo di hacker POLONIUM sono costituiti da sette backdoor su misura: CreepyDrive, che abusa dei servizi cloud OneDrive e Dropbox per C&C; CreepySnail, che esegue i comandi ricevuti dall'infrastruttura degli aggressori; DeepCreep e MegaCreep, che utilizzano rispettivamente i servizi di archiviazione di file Dropbox e Mega; così come FlipCreep, TechnoCreep e PapaCreep, che ricevono comandi dai server degli aggressori. Il gruppo ha anche utilizzato diversi moduli personalizzati per spiare i propri obiettivi. Questi sono in grado di acquisire schermate, registrare sequenze di tasti, spiare tramite webcam, aprire shell inverse, esfiltrare file e molto altro.
Molti piccoli strumenti per la catena di attacco
“La maggior parte dei moduli dannosi del gruppo sono piccoli e hanno funzionalità limitate. In un caso, gli aggressori hanno utilizzato un modulo per acquisire screenshot e un altro per caricarli sul server C&C. Allo stesso modo, amano suddividere il codice nelle loro backdoor e distribuire le funzioni dannose in varie piccole DLL, forse con l'aspettativa che i difensori o i ricercatori non osservino l'intera catena di attacco", spiega Porolli.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.