ESET: неизвестный бэкдор из Ливана используется для шпионажа за жителями Израиля

[Artifact]

Исследователи до сих пор не могут понять тактику группы, которая за год использовала 7 разных бэкдоров.

Исследователи безопасности ESET обнаружили ранее неизвестное вредоносное ПО , используемое кибершпионской группировкой POLONIUM , которая атакует исключительно израильские организации. По данным ESET, POLONIUM нацелена на инженерные, IT-, юридические, коммуникационные, маркетинговые и страховые компании в Израиле.
ESET сообщает, что POLONIUM занимается исключительно кибершпионажем и не развертывает вайперы и программы-вымогатели. С сентября 2021 года хакеры использовали как минимум 7 вариантов бэкдоров, в том числе 4 новых недокументированных бэкдора «TechnoCreep», «FlipCreep», «MegaCreep» и «PapaCreep».

7 бэкдоров, развернутых POLONIUM с сентября 2021 года
Некоторые бэкдоры используют облачные сервисы OneDrive, Dropbox и Mega в качестве серверов управления и контроля (C&C). Другие бэкдоры используют стандартные TCP-соединения с удаленными C&C-серверами или получают команды для выполнения из файлов, размещенных на FTP-серверах.
Функции бэкдоров различаются, однако, они позволяют:

• регистрировать нажатия клавиш;

• делать снимки экрана рабочего стола;

• делать фотографии с помощью веб-камеры;

• эксфильтровать файлы с хоста;

• устанавливать дополнительные вредоносные программы;

• выполнять команды на зараженном устройстве.

Бэкдор PapaCreep также является модульным, разбивая выполнение команд, связь с C&C и загрузку файлов на небольшие компоненты. Преимущество заключается в том, что компоненты могут работать независимо, сохраняться через отдельные запланированные задачи во взломанной системе и затруднять обнаружение бэкдора.
POLONIUM также использует различные инструменты с открытым исходным кодом для создания обратного прокси, скриншотов, кейлоггинга и подключения веб-камеры.
ESET не удалось точно определить тактику POLONIUM, но Microsoft ранее сообщала, что группа использовала известные уязвимости VPN-продукта для взлома сетей. Инфраструктура частной сети злоумышленника скрыта за VPS-серверами и скомпрометированными веб-сайтами, поэтому картирование деятельности группы остается неясным.