O grupo de hackers POLONIUM (APT) atacou alvos em Israel com backdoors previamente desconhecidos e ferramentas de espionagem cibernética. O grupo usa principalmente serviços de nuvem para os ataques. Os pesquisadores da ESET apelidaram o malware de "assustador". Diz-se que o grupo está trabalhando com o Irã.
De acordo com a análise dos pesquisadores do fabricante europeu de segurança de TI, os hackers atacaram mais de uma dezena de organizações desde pelo menos setembro de 2021. A ação mais recente do grupo aconteceu em setembro de 2022. As indústrias-alvo desse grupo incluem engenharia, tecnologia da informação, jurídico, comunicações, branding e marketing, mídia, seguros e serviços sociais.
Grupo de hackers provavelmente com conexões com o Irã
Segundo vários especialistas em segurança, o POLONIUM é um grupo operacional sediado no Líbano que coordena suas atividades com outros atores ligados ao Ministério de Inteligência e Segurança iraniano.
“As inúmeras versões e alterações que o POLONIUM fez em suas ferramentas personalizadas mostram que o grupo está trabalhando continuamente e a longo prazo para espionar seus alvos. A partir de seu conjunto de ferramentas, a ESET conclui que está interessada em coletar dados confidenciais. O grupo não parece estar envolvido em nenhuma ação de sabotagem ou ransomware", disse o pesquisador da ESET Matías Porolli, que analisou o malware do POLONIUM.
Uso indevido de serviços em nuvem
De acordo com os pesquisadores da ESET, o grupo de hackers POLONIUM é muito ativo e possui um grande arsenal de ferramentas de malware. Estes estão sendo constantemente modificados e desenvolvidos pelos atores. Uma característica comum de várias ferramentas do grupo é o abuso de serviços em nuvem, como Dropbox, Mega e OneDrive para comunicações de Comando e Controle (C&C). Informações de inteligência e relatórios públicos sobre o POLONIUM são muito esparsos e limitados, provavelmente porque os ataques do grupo são altamente direcionados e o vetor inicial de comprometimento é desconhecido.
As ferramentas de ciberespionagem do grupo de hackers POLONIUM consistem em sete backdoors personalizados: CreepyDrive, que abusa dos serviços de nuvem OneDrive e Dropbox para C&C; CreepySnail, que executa comandos recebidos da própria infraestrutura dos atacantes; DeepCreep e MegaCreep, que usam os serviços de armazenamento de arquivos Dropbox e Mega, respectivamente; bem como FlipCreep, TechnoCreep e PapaCreep, que recebem comandos dos servidores dos invasores. O grupo também usou vários módulos personalizados para espionar seus alvos. Eles são capazes de fazer capturas de tela, registrar pressionamentos de tecla, espionar via webcam, abrir shells reversos, exfiltrar arquivos e muito mais.
Muitas ferramentas pequenas para cadeia de ataque
“A maioria dos módulos maliciosos do grupo são pequenos e têm funcionalidade limitada. Em um caso, os invasores usaram um módulo para fazer capturas de tela e outro para carregá-las no servidor C&C. Da mesma forma, eles gostam de dividir o código em seus backdoors e distribuir as funções maliciosas em várias pequenas DLLs, talvez com a expectativa de que defensores ou pesquisadores não observem toda a cadeia de ataque”, explica Porolli.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.