POLONIUM APT IOCs

security IOC

Исследователи ESET раскрыли свои выводы о POLONIUM, группе передовых постоянных угроз (APT), о которой мало информации в открытом доступе и неизвестен ее первоначальный вектор компрометации. POLONIUM - кибершпионская группа, впервые задокументированная Microsoft Threat Intelligence Center (MSTIC) в июне 2022 года. По оценке MSTIC, POLONIUM - это оперативная группа, базирующаяся в Ливане и координирующая свою деятельность с другими субъектами, связанными с Министерством разведки и безопасности Ирана (MOIS).

Согласно данным телеметрии ESET, POLONIUM атаковала более десятка организаций в Израиле, по крайней мере, с сентября 2021 года, а последние действия группы были отмечены в сентябре 2022 года. Вертикали, на которые нацелилась эта группа, включают инженерное дело, информационные технологии, право, коммуникации, брендинг и маркетинг, СМИ, страхование и социальные услуги.

  • Ориентированный только на израильские цели, POLONIUM атаковал более десятка организаций в различных вертикалях, таких как машиностроение, информационные технологии, право, коммуникации, брендинг и маркетинг, СМИ, страхование и социальные услуги.
  • Согласно данным телеметрии ESET, с сентября 2021 года группа использовала как минимум семь различных пользовательских бэкдоров, и на момент написания статьи она активна.
  • Группа разработала пользовательские инструменты для снятия скриншотов, регистрации нажатий клавиш, шпионажа через веб-камеру, открытия обратных оболочек, эксфильтрации файлов и т.д.
  • Для связи C&C POLONIUM использует распространенные облачные сервисы, такие как Dropbox, OneDrive и Mega.

Инструментарий

POLONIUM - активная группа, которая постоянно вносит изменения в свои инструменты. С тех пор как начали отслеживать группу, Eset  видели более 10 различных вредоносных модулей, большинство из них - в различных версиях или с незначительными изменениями для данной версии. Вот некоторые из наиболее интересных характеристик инструментария группы:

  • Обилие инструментов: С сентября 2021 года мы видели семь различных пользовательских бэкдоров, используемых группой, а также множество других вредоносных модулей для регистрации нажатий клавиш, снятия скриншотов, выполнения команд, фотографирования веб-камерой или эксфильтрации файлов.
  • Пользовательские инструменты: В различных атаках, проведенных этой группой за короткий промежуток времени, мы обнаружили один и тот же компонент с незначительными изменениями. В некоторых других случаях мы видели модуль, написанный с нуля, который следовал той же логике, что и некоторые предыдущие компоненты. Лишь в нескольких случаях мы видели, что группа использовала общедоступные инструменты или код. Все это указывает на то, что POLONIUM создает и поддерживает свои собственные инструменты.
  • Облачные сервисы: Группа злоупотребляет распространенными облачными сервисами, такими как Dropbox, OneDrive и Mega, для связи C&C (получение команд и утечка данных).
  • Мелкие компоненты: Большинство вредоносных модулей группы небольшие, с ограниченной функциональностью. В одном случае злоумышленники использовали один модуль для создания скриншотов, а другой - для загрузки их на C&C-сервер. Аналогично, они любят разделять код в своих бэкдорах, распределяя вредоносную функциональность по различным небольшим DLL, возможно, рассчитывая на то, что защитники или исследователи не будут наблюдать полную цепочку атаки.

Indicators of Compromise

IPv4

  • 212.73.150.174
  • 37.120.233.89
  • 51.83.246.73
  • 94.156.189.103

IPv4 Port Combinations

  • 146.70.86.6:1433
  • 185.203.119.99:8080
  • 185.244.129.216:5055
  • 185.244.129.79:63047
  • 195.166.100.23:5055
  • 45.137.148.7:2121
  • 45.80.148.119:8080
  • 45.80.148.167:21
  • 45.80.148.167:5055
  • 45.80.148.186:8080
  • 45.80.149.108:8080
  • 45.80.149.154:1302
  • 45.80.149.154:21
  • 45.80.149.22:8080
  • 45.80.149.68:63047
  • 45.80.149.71:80

SHA1

  • 03a35a0167684e6ccca641296969972e49b88d60
  • 2b9444b0e1747eb4f482d29c9de27d07cce55a76
  • 3f4e3c5301752d39daf97384cca47564da1c3314
  • 43e3c3752a15d0bde7135e1b52f1de397b5314b5
  • 4e7dbff20995e97190536b284d7e5cc65922fd55
  • 79de0af2f10f8d39a93eed911d4048d87e3c8a1c
  • 809048a40274350bd0c453e49d8c1f7d32397164
  • 94e75ba7c4476afdacf4b39e403379c5ecd1bed6
  • 994ead7666a67e33c57a51ef98076d41aabb7fb7
  • b87cc5269a5df5cf093f8d28df78952f662162b6
  • cc820ed9a23084104807941b76a2679243ba357c
  • f26f43ad2e2980b96497242a3f30ca003e5cf54c
  • f41e27c4c863821de6cad91ca7e77cd6ca6ce5d3

 

 

SEC-1275-1
Добавить комментарий