Un actor de amenazas rastreado como Polonium se ha relacionado con más de una docena de ataques altamente dirigidos contra entidades israelíes con siete puertas traseras personalizadas diferentes desde al menos septiembre de 2021.
Las intrusiones estaban dirigidas a organizaciones en varios sectores, como ingeniería, tecnología de la información, derecho, comunicaciones, marca y marketing, medios, seguros y servicios sociales, dijo la firma de ciberseguridad ESET.
El polonio es el apodo con el tema de los elementos químicos que Microsoft le dio a un grupo operativo sofisticado que se cree que tiene su sede en el Líbano y se sabe que ataca exclusivamente a objetivos israelíes.
Las actividades realizadas por el grupo salieron a la luz por primera vez a principios de junio cuando el fabricante de Windows reveló que suspendió más de 20 cuentas maliciosas de OneDrive creadas por el adversario con fines de comando y control (C2).
El núcleo de los ataques ha sido el uso de implantes denominados CreepyDrive y CreepyBox por su capacidad para filtrar datos confidenciales a cuentas de OneDrive y Dropbox controladas por actores. También se implementó una puerta trasera de PowerShell denominada CreepySnail.
El último descubrimiento de ESET de otras cinco puertas traseras no documentadas previamente pone de relieve un actor de amenazas activo orientado al espionaje que está refinando y actualizando constantemente su arsenal de malware.
“Las numerosas versiones y cambios que Polonium introdujo en sus herramientas personalizadas muestran un esfuerzo continuo y de largo plazo para espiar los objetivos del grupo”, dijo el investigador de ESET Matías Porolli. dijo. «El grupo no parece participar en ninguna acción de sabotaje o ransomware».
La lista de herramientas de piratería personalizadas es la siguiente:
- Unidad espeluznante/Caja espeluznante – Una puerta trasera de PowerShell que lee y ejecuta comandos desde un archivo de texto almacenado en OneDrive o Dropbox.
- espeluznantecaracol – Una puerta trasera de PowerShell que recibe comandos del propio servidor C2 del atacante
- ProfundoCreep – Puerta trasera AC# que lee comandos de un archivo de texto almacenado en cuentas de Dropbox y extrae datos
- MegaCreep – Puerta trasera AC# que lee comandos de un archivo de texto almacenado en el servicio de almacenamiento en la nube de Mega
- FlipCreep – Puerta trasera AC# que lee comandos de un archivo de texto almacenado en un servidor FTP y extrae datos
- TecnoCreep – puerta trasera AC# que se comunica con el servidor C2 a través de sockets TCP para ejecutar comandos y filtrar datos
- PapaCreep – Una puerta trasera C++ que puede recibir y ejecutar comandos desde un servidor remoto a través de sockets TCP
PapaCreep, detectado recientemente en septiembre de 2022, es un malware modular que contiene cuatro componentes diferentes que están diseñados para ejecutar comandos, recibir y enviar comandos y sus resultados, y cargar y descargar archivos.
La firma de ciberseguridad eslovaca dijo que también descubrió varios otros módulos responsables de registrar las pulsaciones de teclas, capturar capturas de pantalla, tomar fotos a través de la cámara web y establecer un caparazón inverso en la máquina comprometida.
A pesar de la abundancia de malware utilizado en los ataques, actualmente se desconoce el vector de acceso inicial utilizado para violar las redes, aunque se sospecha que puede haber implicado la explotación de fallas de VPN.
«La mayoría de los módulos maliciosos del grupo son pequeños, con funcionalidad limitada», Porolli dijo. «Les gusta dividir el código en sus puertas traseras, distribuyendo la funcionalidad maliciosa en varias DLL pequeñas, tal vez esperando que los defensores o investigadores no observen la cadena de ataque completa».