Компанія ESET ― лідер у галузі інформаційної безпеки ― проаналізувала нові спеціальні бекдори та кібершпигунські інструменти, які використовувала APT-група POLONIUM для атак. Зловмисники були націлені на організації у різних галузях, такі як інженерія, інформаційні технології, право, комунікації, брендинг та маркетинг, ЗМІ, страхування та соціальні послуги.
За даними телеметрії ESET, принаймні з вересня 2021 року кіберзлочинці атакували понад 10 організацій в Ізраїлі, а остання їх активність була зафіксована у вересні 2022 року.
Група кіберзлочинців POLONIUM вперше виявлена компанією Microsoft у червні 2022 року. За даними Microsoft, зловмисники базуються у Лівані та координують свою діяльність з іншими організаціями, пов’язаними з Міністерством розвідки та безпеки Ірану.
Кіберзлочинці володіють величезною кількістю шкідливих програм, які вони постійно модифікують та розробляють нові. Спільною ознакою усіх небезпечних інструментів є несанкціоноване використання хмарних сервісів, зокрема Dropbox, Mega та OneDrive, для зв’язку з командним сервером. Загалом даних про групу POLONIUM досить мало, ймовірно, через цілеспрямованість їх атак, а також невідомий початковий вектор компрометації.
«Численні версії та зміни, які кіберзлочинці POLONIUM вносять у власні інструменти, демонструють безперервні та довгострокові зусилля для шпигунства за цілями. Дослідники ESET вважають, що зловмисники зацікавлені у зборі конфіденційних даних своїх цілей. Схоже, що кіберзлочинці не беруть участь у діяльності, яка пов’язана із саботажем або програмами-вимагачами», — коментує Матіас Пороллі, дослідник ESET.
Набір інструментів POLONIUM складається із 7 спеціальних бекдорів:
- CreepyDrive, який використовує OneDrive та хмарні сервіси Dropbox для зв’язку з командним сервером;
- CreepySnail, який виконує команди від зловмисників;
- DeepCreep та MegaCreep, які використовують сервіси зберігання файлів Dropbox та Mega відповідно;
- FlipCreep, TechnoCreep та PapaCreep, які отримують команди від зловмисників.
Ця група кіберзлочинців також розробила кілька спеціальних модулів для шпигунства за своїми цілями, зокрема за допомогою створення знімків екрана, зчитування натискань клавіш, стеження через вебкамеру та перехоплення файлів.
«Більшість шкідливих модулів мають обмежений функціонал. В одному випадку зловмисники використовували модуль для створення знімків екрана, а в іншому – для завантаження їх на командний сервер. Також їм властиве розділення коду у своїх бекдорах, розподіляючи шкідливий функціонал у різні невеликі бібліотеки DLL. Ймовірно, таким чином кіберзлочинці намагаються замаскувати свої дії від дослідників, які на їх думку не спостерігатимуть за повним ланцюжком атак», — пояснює дослідник ESET.
Щоб зменшити потенційні ризики атак кіберзлочинцями, варто створити багаторівневу систему кіберзахисту та подбати про безпеку даних. Зокрема організаціям вже зараз слід забезпечити всебічний захист робочих станцій, розширений аналіз загроз, виявлення та реагування, а також запобігання втраті конфіденційних даних.
У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою support@eset.ua.
Читайте також:
Що робити, якщо ваш комп’ютер зламаний ― поради спеціалістів ESET
Як посилити кібербезпеку компанії в умовах постійних атак ― 6 простих кроків
Зберігання даних компаній у хмарному сховищі – наскільки це наразі безпечно