Thought Leadership
Die APT-Gruppe POLONIUM hat mit bisher unbekannten Backdoors und Cyberspionage-Tools Ziele in Israel attackiert. Die ESET-Forscher haben die Schadprogramme “Creepy” getauft. Laut Analyse der Forscher des europäischen IT-Sicherheitsherstellers haben die Hacker mindestens seit September 2021 mehr als ein Dutzend Organisationen angegriffen.
Die jüngste Aktion der Gruppe fand im September 2022 statt. Zu den Zielbranchen dieser Gruppe gehören Maschinenbau, Informationstechnologie, Recht, Kommunikation, Branding und Marketing, Medien, Versicherungen und soziale Dienste. Laut Einschätzungen verschiedener Sicherheitsexperten handelt es sich bei POLONIUM um eine operative Gruppe mit Sitz im Libanon, die ihre Aktivitäten mit anderen Akteuren koordiniert, die wiederum mit dem iranischen Ministerium für Geheimdienst und Sicherheit verbunden sind. Ihre aktuellen Ergebnisse haben die ESET-Forscher auf WeLiveSecurity veröffentlicht.
“Die zahlreichen Versionen und Änderungen, die POLONIUM an seinen benutzerdefinierten Tools vorgenommen hat, zeigen, dass die Gruppe kontinuierlich und langfristig daran arbeitet, ihre Ziele auszuspionieren. ESET schließt aus ihrem Toolset, dass sie daran interessiert sind, vertrauliche Daten zu sammeln. Die Gruppe scheint nicht an Sabotage- oder Ransomware-Aktionen beteiligt zu sein”, sagt ESET-Forscher Matías Porolli, der die Malware von POLONIUM analysiert hat.
POLONIUM missbraucht Cloud-Dienste
Laut ESET-Forschern ist die APT-Gruppe POLONIUM sehr aktiv und verfügt über ein großes Arsenal an Malware-Tools. Diese werden von den Akteuren ständig modifiziert und neu entwickelt. Ein gemeinsames Merkmal mehrerer Tools der Gruppe ist der Missbrauch von Cloud-Diensten wie Dropbox, Mega und OneDrive für die Command & Control (C&C) -Kommunikation. Geheimdienstinformationen und öffentliche Berichte über POLONIUM sind sehr spärlich und begrenzt, wahrscheinlich weil die Angriffe der Gruppe sehr gezielt sind und der anfängliche Kompromittierungsvektor nicht bekannt ist.
Die Cyberspionage-Werkzeuge von POLONIUM bestehen aus sieben maßgeschneiderten Backdoors: CreepyDrive, das die Cloud-Dienste OneDrive und Dropbox für C&C missbraucht; CreepySnail, das Befehle ausführt, die von der eigenen Infrastruktur der Angreifer empfangen werden; DeepCreep und MegaCreep, die die Dateispeicherdienste Dropbox bzw. Mega nutzen; sowie FlipCreep, TechnoCreep und PapaCreep, die Befehle von den Servern der Angreifer empfangen. Die Gruppe hat auch mehrere benutzerdefinierte Module verwendet, um ihre Ziele auszuspionieren. Diese sind in der Lage, Screenshots zu erstellen, Tastatureingaben zu protokollieren, über die Webcam zu spionieren, Reverse Shells zu öffnen, Dateien zu exfiltrieren und vieles mehr.
“Die meisten der bösartigen Module der Gruppe sind klein und haben nur eine begrenzte Funktionalität. In einem Fall verwendeten die Angreifer ein Modul, um Screenshots zu machen, und ein anderes, um sie auf den C&C-Server hochzuladen. In ähnlicher Weise teilen sie den Code in ihren Backdoors gerne auf und verteilen die bösartigen Funktionen in verschiedene kleine DLLs, vielleicht in der Erwartung, dass Verteidiger oder Forscher nicht die gesamte Angriffskette beobachten”, erklärt Porolli.
Weitere technische Informationen über POLONIUM gibt es im Blogpost auf WeLiveSecurity.
www.eset.com
