ハッカー グループ POLONIUM (APT) は、これまで知られていなかったバックドアとサイバー スパイ ツールを使用して、イスラエルの標的を攻撃しました。 このグループは、主に攻撃にクラウド サービスを使用しています。 ESET の研究者は、このマルウェアを「Creepy」と名付けました。 このグループはイランと協力していると言われています。
欧州の IT セキュリティ メーカーの研究者による分析によると、ハッカーは少なくとも 2021 年 2022 月以降、XNUMX を超える組織を攻撃しています。 グループの最新の行動は XNUMX 年 XNUMX 月に行われました。 このグループの対象産業には、エンジニアリング、情報技術、法律、通信、ブランディングとマーケティング、メディア、保険、社会サービスが含まれます。
イランと関係があると思われるハッカーグループ
さまざまなセキュリティ専門家によると、POLONIUM はレバノンを拠点とする運用グループであり、イランの情報セキュリティ省に関連する他のアクターとその活動を調整しています。
「POLONIUMがカスタムツールに加えた多数のバージョンと変更は、グループがターゲットをスパイするために継続的かつ長期的に取り組んでいることを示しています. ESET は、自社のツールセットから、機密データの収集に関心があると結論付けています。 このグループは妨害行為やランサムウェアの活動に関与していないようです」と、POLONIUM のマルウェアを分析した ESET の研究者マティアス・ポロリは述べています。
クラウド サービスの不正使用
ESET の研究者によると、ハッキング グループ POLONIUM は非常に活発で、多数のマルウェア ツールを保有しています。 これらはアクターによって絶えず変更され、新たに開発されています。 同グループのツールのいくつかに共通する特徴は、コマンド & コントロール (C&C) 通信のための Dropbox、Mega、OneDrive などのクラウド サービスの悪用です。 POLONIUM に関するインテリジェンス情報と公開レポートは非常にまばらで限られています。これは、グループの攻撃が高度に標的化されており、侵害の最初のベクトルが不明であるためと考えられます。
ハッキング グループ POLONIUM のサイバー スパイ ツールは、XNUMX つのカスタムメイドのバックドアで構成されています。 攻撃者自身のインフラストラクチャから受信したコマンドを実行する CreepySnail。 DeepCreep と MegaCreep は、それぞれ Dropbox と Mega ファイル ストレージ サービスを使用します。 FlipCreep、TechnoCreep、および PapaCreep は、攻撃者のサーバーからコマンドを受け取ります。 このグループはまた、いくつかのカスタム モジュールを使用してターゲットをスパイしました。 これらは、スクリーンショットを撮ったり、キーストロークを記録したり、Web カメラを介してスパイしたり、リバース シェルを開いたり、ファイルを盗んだりすることができます。
攻撃チェーンのための多くの小さなツール
「グループの悪意のあるモジュールのほとんどは小さく、機能が制限されています。 あるケースでは、攻撃者は XNUMX つのモジュールを使用してスクリーンショットを撮り、別のモジュールを使用してスクリーンショットを C&C サーバーにアップロードしました。 同様に、攻撃者はバックドアでコードを分割し、悪意のある機能をさまざまな小さな DLL に配布することを好みます。これはおそらく、防御者や研究者が攻撃チェーン全体を監視しないことを期待してのことです」と Porolli は説明します。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。