12/10/22
Исследователи безопасности ESET обнаружили ранее неизвестное вредоносное ПО, используемое кибершпионской группировкой POLONIUM, которая атакует исключительно израильские организации. По данным ESET, POLONIUM нацелена на инженерные, IT-, юридические, коммуникационные, маркетинговые и страховые компании в Израиле.
ESET сообщает, что POLONIUM занимается исключительно кибершпионажем и не развертывает вайперы и программы-вымогатели. С сентября 2021 года хакеры использовали как минимум 7 вариантов бэкдоров, в том числе 4 новых недокументированных бэкдора «TechnoCreep», «FlipCreep», «MegaCreep» и «PapaCreep».
.png?width=574&name=content-img(564).png)
Некоторые бэкдоры используют облачные сервисы OneDrive, Dropbox и Mega в качестве серверов управления и контроля (C&C). Другие бэкдоры используют стандартные TCP-соединения с удаленными C&C-серверами или получают команды для выполнения из файлов, размещенных на FTP-серверах.
Функции бэкдоров различаются, однако, они позволяют:
- регистрировать нажатия клавиш;
- делать снимки экрана рабочего стола;
- делать фотографии с помощью веб-камеры;
- эксфильтровать файлы с хоста;
- устанавливать дополнительные вредоносные программы;
- выполнять команды на зараженном устройстве.
Бэкдор PapaCreep также является модульным, разбивая выполнение команд, связь с C&C и загрузку файлов на небольшие компоненты. Преимущество заключается в том, что компоненты могут работать независимо, сохраняться через отдельные запланированные задачи во взломанной системе и затруднять обнаружение бэкдора.
POLONIUM также использует различные инструменты с открытым исходным кодом для создания обратного прокси, скриншотов, кейлоггинга и подключения веб-камеры.
ESET не удалось точно определить тактику POLONIUM, но Microsoft ранее сообщала, что группа использовала известные уязвимости VPN-продукта для взлома сетей. Инфраструктура частной сети злоумышленника скрыта за VPS-серверами и скомпрометированными веб-сайтами, поэтому картирование деятельности группы остается неясным.
