Hacker grubu POLONIUM (APT), daha önce bilinmeyen arka kapılar ve siber casusluk araçlarıyla İsrail'deki hedeflere saldırdı. Grup, saldırılar için çoğunlukla bulut hizmetlerini kullanıyor. ESET araştırmacıları kötü amaçlı yazılımı "Ürpertici" olarak adlandırdı. Grubun İran ile çalıştığı söyleniyor.
Avrupalı BT güvenlik üreticisinin araştırmacılarının yaptığı analize göre, bilgisayar korsanları en az Eylül 2021'den bu yana bir düzineden fazla kuruluşa saldırdı. Grubun en son eylemi Eylül 2022'de gerçekleşti. Bu grubun hedef sektörleri arasında mühendislik, bilgi teknolojisi, hukuk, iletişim, markalaşma ve pazarlama, medya, sigorta ve sosyal hizmetler bulunmaktadır.
Muhtemelen İran bağlantıları olan hacker grubu
Çeşitli güvenlik uzmanlarına göre POLONIUM, faaliyetlerini İran İstihbarat ve Güvenlik Bakanlığı'na bağlı diğer aktörlerle koordine eden Lübnan merkezli bir operasyonel gruptur.
"POLONIUM'un özel araçlarında yaptığı çok sayıda sürüm ve değişiklik, grubun hedeflerini gözetlemek için sürekli ve uzun vadeli çalıştığını gösteriyor. ESET, araç setinden hassas verileri toplamakla ilgilendikleri sonucuna varıyor. POLONIUM'un kötü amaçlı yazılımını analiz eden ESET araştırmacısı Matías Porolli, grubun herhangi bir sabotaj veya fidye yazılımı eylemine karışmış gibi görünmediğini söylüyor.
Bulut Hizmetlerinin Kötüye Kullanımı
ESET araştırmacılarına göre, POLONIUM bilgisayar korsanlığı grubu çok aktif ve geniş bir kötü amaçlı yazılım araçları cephaneliğine sahip. Bunlar oyuncular tarafından sürekli olarak değiştirilmekte ve yeni geliştirilmektedir. Grubun birçok aracının ortak bir özelliği, Dropbox, Mega ve OneDrive for Command & Control (C&C) iletişimleri gibi bulut hizmetlerinin kötüye kullanılmasıdır. POLONIUM hakkındaki istihbarat bilgileri ve kamuya açık raporlar çok seyrek ve sınırlıdır, çünkü muhtemelen grubun saldırıları büyük ölçüde hedeflenmiştir ve ilk uzlaşma vektörü bilinmemektedir.
Bilgisayar korsanlığı grubu POLONIUM'un siber casusluk araçları, özel yapım yedi arka kapıdan oluşur: C&C için OneDrive ve Dropbox bulut hizmetlerini kötüye kullanan CreepyDrive; Saldırganların kendi altyapısından aldığı komutları yürüten CreepySnail; Sırasıyla Dropbox ve Mega dosya depolama hizmetlerini kullanan DeepCreep ve MegaCreep; saldırganların sunucularından komutlar alan FlipCreep, TechnoCreep ve PapaCreep gibi. Grup ayrıca hedeflerini gözetlemek için birkaç özel modül kullandı. Bunlar ekran görüntüleri alabilir, tuş vuruşlarını kaydedebilir, web kamerası aracılığıyla casusluk yapabilir, ters kabukları açabilir, dosyaları sızdırabilir ve çok daha fazlasını yapabilir.
Saldırı zinciri için birçok küçük araç
“Grubun kötü amaçlı modüllerinin çoğu küçük ve sınırlı işlevselliğe sahip. Bir vakada, saldırganlar ekran görüntülerini almak için bir modül ve bunları C&C sunucusuna yüklemek için başka bir modül kullandı. Benzer şekilde, belki de savunucuların veya araştırmacıların tüm saldırı zincirini gözlemlemeyecekleri beklentisiyle, arka kapılarındaki kodu bölmeyi ve kötü amaçlı işlevleri çeşitli küçük DLL'lere dağıtmayı seviyorlar" diye açıklıyor Porolli.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.