I ricercatori di ESET hanno recentemente analizzato backdoor personalizzate e strumenti di cyberespionaggio precedentemente non documentati, distribuiti in Israele dal gruppo APT POLONIUM. ESET ha chiamato le cinque backdoor non documentate in precedenza con il suffisso “-Creep”. Secondo la telemetria di ESET, POLONIUM ha preso di mira più di una dozzina di organizzazioni in Israele almeno dal settembre 2021, e le azioni più recenti del gruppo sono state osservate nel settembre 2022. I settori verticali presi di mira da questo gruppo includono ingegneria, informatica, legge, comunicazioni, branding e marketing, media, assicurazioni e servizi sociali. POLONIUM è un gruppo di cyber-spionaggio documentato per la prima volta da Microsoft nel giugno 2022. Secondo Microsoft, il gruppo ha sede in Libano e coordina le proprie attività con altri soggetti affiliati al Ministero dell’Intelligence e della Sicurezza iraniano.
Secondo ESET Research, POLONIUM è un attore di minacce molto attivo con un vasto arsenale di strumenti di malware, che modifica costantemente e ne sviluppa di nuovi. Una caratteristica comune a diversi strumenti del gruppo è l’abuso di servizi cloud come Dropbox, Mega e OneDrive per le comunicazioni di comando e controllo (C&C). Le informazioni e i rapporti pubblici su POLONIUM sono molto scarsi e limitati, probabilmente perché gli attacchi del gruppo sono altamente mirati e il vettore di compromissione iniziale non è noto. “Le numerose versioni e modifiche introdotte da POLONIUM nei suoi strumenti personalizzati mostrano uno sforzo continuo e a lungo termine per spiare gli obiettivi del gruppo. ESET può dedurre dal loro set di strumenti che sono interessati a raccogliere dati riservati dai loro obiettivi. Il gruppo non sembra impegnato in azioni di sabotaggio o ransomware”, afferma Matías Porolli, ricercatore ESET che ha analizzato il malware.
Il set di strumenti di POLONIUM consiste in sette backdoor personalizzate: CreepyDrive, che sfrutta i servizi cloud OneDrive e Dropbox per il C&C; CreepySnail, che esegue i comandi ricevuti dall’infrastruttura degli aggressori; DeepCreep e MegaCreep, che utilizzano rispettivamente i servizi di archiviazione file Dropbox e Mega; e FlipCreep, TechnoCreep e PapaCreep, che ricevono i comandi dai server degli aggressori. Il gruppo ha anche sviluppato diversi moduli personalizzati per spiare i propri bersagli, scattando screenshot, registrando i tasti premuti, spiando la webcam, aprendo shell inverse, esfiltrare file e altro ancora. “La maggior parte dei moduli dannosi del gruppo sono piccoli e con funzionalità limitate. In un caso, gli aggressori hanno utilizzato un modulo per scattare screenshot e un altro per caricarli sul server C&C. In modo simile, amano dividere il codice delle loro backdoor, distribuendo le funzionalità dannose in varie DLL di piccole dimensioni, forse pensando che i difensori o i ricercatori non osserveranno la catena di attacco completa”, spiega Porolli.
