Исследователи ESET раскрыли свои выводы о POLONIUM, группе передовых постоянных угроз (APT), о которой мало информации в открытом доступе и неизвестен ее первоначальный вектор компрометации. POLONIUM - кибершпионская группа, впервые задокументированная Microsoft Threat Intelligence Center (MSTIC) в июне 2022 года. По оценке MSTIC, POLONIUM - это оперативная группа, базирующаяся в Ливане и координирующая свою деятельность с другими субъектами, связанными с Министерством разведки и безопасности Ирана (MOIS).
Согласно данным телеметрии ESET, POLONIUM атаковала более десятка организаций в Израиле, по крайней мере, с сентября 2021 года, а последние действия группы были отмечены в сентябре 2022 года. Вертикали, на которые нацелилась эта группа, включают инженерное дело, информационные технологии, право, коммуникации, брендинг и маркетинг, СМИ, страхование и социальные услуги.
- Ориентированный только на израильские цели, POLONIUM атаковал более десятка организаций в различных вертикалях, таких как машиностроение, информационные технологии, право, коммуникации, брендинг и маркетинг, СМИ, страхование и социальные услуги.
- Согласно данным телеметрии ESET, с сентября 2021 года группа использовала как минимум семь различных пользовательских бэкдоров, и на момент написания статьи она активна.
- Группа разработала пользовательские инструменты для снятия скриншотов, регистрации нажатий клавиш, шпионажа через веб-камеру, открытия обратных оболочек, эксфильтрации файлов и т.д.
- Для связи C&C POLONIUM использует распространенные облачные сервисы, такие как Dropbox, OneDrive и Mega.
Инструментарий
POLONIUM - активная группа, которая постоянно вносит изменения в свои инструменты. С тех пор как начали отслеживать группу, Eset видели более 10 различных вредоносных модулей, большинство из них - в различных версиях или с незначительными изменениями для данной версии. Вот некоторые из наиболее интересных характеристик инструментария группы:
- Обилие инструментов: С сентября 2021 года мы видели семь различных пользовательских бэкдоров, используемых группой, а также множество других вредоносных модулей для регистрации нажатий клавиш, снятия скриншотов, выполнения команд, фотографирования веб-камерой или эксфильтрации файлов.
- Пользовательские инструменты: В различных атаках, проведенных этой группой за короткий промежуток времени, мы обнаружили один и тот же компонент с незначительными изменениями. В некоторых других случаях мы видели модуль, написанный с нуля, который следовал той же логике, что и некоторые предыдущие компоненты. Лишь в нескольких случаях мы видели, что группа использовала общедоступные инструменты или код. Все это указывает на то, что POLONIUM создает и поддерживает свои собственные инструменты.
- Облачные сервисы: Группа злоупотребляет распространенными облачными сервисами, такими как Dropbox, OneDrive и Mega, для связи C&C (получение команд и утечка данных).
- Мелкие компоненты: Большинство вредоносных модулей группы небольшие, с ограниченной функциональностью. В одном случае злоумышленники использовали один модуль для создания скриншотов, а другой - для загрузки их на C&C-сервер. Аналогично, они любят разделять код в своих бэкдорах, распределяя вредоносную функциональность по различным небольшим DLL, возможно, рассчитывая на то, что защитники или исследователи не будут наблюдать полную цепочку атаки.
Indicators of Compromise
IPv4
- 212.73.150.174
- 37.120.233.89
- 51.83.246.73
- 94.156.189.103
IPv4 Port Combinations
- 146.70.86.6:1433
- 185.203.119.99:8080
- 185.244.129.216:5055
- 185.244.129.79:63047
- 195.166.100.23:5055
- 45.137.148.7:2121
- 45.80.148.119:8080
- 45.80.148.167:21
- 45.80.148.167:5055
- 45.80.148.186:8080
- 45.80.149.108:8080
- 45.80.149.154:1302
- 45.80.149.154:21
- 45.80.149.22:8080
- 45.80.149.68:63047
- 45.80.149.71:80
SHA1
- 03a35a0167684e6ccca641296969972e49b88d60
- 2b9444b0e1747eb4f482d29c9de27d07cce55a76
- 3f4e3c5301752d39daf97384cca47564da1c3314
- 43e3c3752a15d0bde7135e1b52f1de397b5314b5
- 4e7dbff20995e97190536b284d7e5cc65922fd55
- 79de0af2f10f8d39a93eed911d4048d87e3c8a1c
- 809048a40274350bd0c453e49d8c1f7d32397164
- 94e75ba7c4476afdacf4b39e403379c5ecd1bed6
- 994ead7666a67e33c57a51ef98076d41aabb7fb7
- b87cc5269a5df5cf093f8d28df78952f662162b6
- cc820ed9a23084104807941b76a2679243ba357c
- f26f43ad2e2980b96497242a3f30ca003e5cf54c
- f41e27c4c863821de6cad91ca7e77cd6ca6ce5d3