Компания ESET ― лидер в области информационной безопасности ― проанализировала новые специальные бэкдоры и кибершпионские инструменты, которые использовала APT-группа POLONIUM для атак. Злоумышленники были нацелены на организации в различных областях, таких как инженерия, информационные технологии, право, коммуникации, брендинг и маркетинг, СМИ, страхование и социальные услуги.
По данным телеметрии ESET, по крайней мере, с сентября 2021 года киберпреступники атаковали больше 10 организаций в Израиле, а последняя их активность была зафиксирована в сентябре 2022 года.
Группа киберпреступников POLONIUM впервые была обнаружена компанией Microsoft в июне 2022 года. По данным Microsoft, злоумышленники базируются в Ливане и координируют свою деятельность с другими организациями, связанными с Министерством разведки и безопасности Ирана.
Киберпреступники обладают множеством вредоносных программ, которые они постоянно модифицируют и разрабатывают новые. Общим признаком всех опасных инструментов является несанкционированное использование облачных сервисов, в частности Dropbox, Mega и OneDrive, для связи с командным сервером. В общем, данных о группе POLONIUM достаточно мало, вероятно, из-за целенаправленности их атак, а также неизвестного начального вектора компрометации.
«Многочисленные версии и изменения, которые киберпреступники POLONIUM вносят в собственные инструменты, демонстрируют непрерывные и долгосрочные усилия для шпионажа за целями. Исследователи ESET считают, что злоумышленники заинтересованы в сборе конфиденциальных данных. Похоже, что киберпреступники не участвуют в деятельности, связанной с саботажем или программами-вымогателями», — комментирует Матиас Поролли, исследователь ESET.
Набор инструментов POLONIUM состоит из 7 специальных бэкдоров:
- CreepyDrive, который использует OneDrive и облачные сервисы Dropbox для связи с командным сервером;
- CreepySnail, который выполняет команды от злоумышленников;
- DeepCreep и MegaCreep, которые используют сервисы хранения файлов Dropbox и Mega соответственно;
- FlipCreep, TechnoCreep и PapaCreep, которые получают команды от злоумышленников.
Рис.1. Хронология использования бэкдоров группой POLONIUM.
Эта группа киберпреступников также разработала несколько специальных модулей для шпионажа за своими целями, в частности с помощью создания снимков экрана, считывания нажатий клавиш, слежки через веб-камеру и перехвата файлов.
«Большинство вредоносных модулей имеют ограниченный функционал. В одном случае злоумышленники использовали модуль для создания снимков экрана, а в другом — для загрузки их на командный сервер. Также им свойственно разделение кода в своих бэкдорах, распределяя вредоносный функционал в разные небольшие библиотеки DLL. Вероятно, таким образом киберпреступники пытаются замаскировать свои действия от исследователей, которые, по их мнению, не будут наблюдать за полной цепочкой атак», — объясняет исследователь ESET.
Чтобы уменьшить потенциальные риски атак киберпреступниками, следует создать многоуровневую систему киберзащиты и позаботиться о безопасности данных. В частности, организациям уже сейчас следует обеспечить всестороннюю защиту рабочих станций, расширенный анализ угроз, выявление и реагирование, а также предотвращение потери конфиденциальных данных.
В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.
Читайте также:
Что делать, если ваш компьютер взломан ― советы специалистов ESET
Как усилить кибербезопасность компании в условиях постоянных атак ― 6 простых шагов
Хранение данных компаний в облачном хранилище ― насколько это безопасно