Los investigadores de ESET analizaron backdoors personalizados y herramientas de ciberespionaje no documentadas anteriormente y desplegadas en Israel por el grupo POLONIUM APT
Los sectores a los que se dirige este grupo son la ingeniería, las tecnologías de la información, el derecho, las comunicaciones, las marcas comerciales y el marketing, los medios de comunicación, los seguros y los servicios sociales
Según la investigación, el grupo de ciberespionaje está interesado en recopilar datos confidenciales de sus objetivos y no parece participar en acciones de sabotaje o ransomware
Los investigadores de ESET, compañía experta en ciberseguridad, han revelado sus hallazgos sobre POLONIUM, un grupo de amenazas persistentes avanzadas (APT) sobre el que hay poca información disponible públicamente y se desconoce su vector de compromiso inicial.
Según ESET, POLONIUM es un grupo de ciberespionaje documentado por primera vez por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) en junio de 2022. La evaluación del MSTIC es que POLONIUM es un grupo operativo con base en el Líbano, que coordina sus actividades con otros actores afiliados al Ministerio de Inteligencia y Seguridad de Irán (MOIS).
Según la telemetría de ESET POLONIUM está centrado únicamente en objetivos israelíes, ha atacado a más de una docena de organizaciones en Israel desde al menos septiembre de 2021 y las acciones más recientes del grupo se observaron en septiembre de 2022. Los sectores a los que se dirige este grupo son la ingeniería, las tecnologías de la información, el derecho, las comunicaciones, las marcas comerciales y el marketing, los medios de comunicación, los seguros y los servicios sociales.
Los hallazgos de ESET, que describen las tácticas de este grupo e incluyen detalles sobre una serie de backdoors no documentadas previamente, se presentaron a finales de septiembre en la conferencia Virus Bulletin 2022.
Puntos clave de la investigación
Según la telemetría de ESET, el grupo ha utilizado al menos siete backdoors personalizados diferentes desde septiembre de 2021, que actualmente siguen activos. Además, el grupo ha desarrollado herramientas personalizadas para realizar capturas de pantalla, registrar las pulsaciones de las teclas, espiar a través de la cámara web, abrir shells inversas, exfiltrar archivos, etc.
Las numerosas versiones y cambios que POLONIUM introdujo en sus herramientas personalizadas muestran un esfuerzo continuo y a largo plazo para espiar a los objetivos del grupo. Aunque no se haya observado qué comandos ejecutaron los operadores en las máquinas comprometidas, los investigadores de ESET pueden deducir de su conjunto de herramientas que están interesados en recopilar datos confidenciales de sus objetivos. El grupo no parece participar en acciones de sabotaje o ransomware.
Como se puede observar en la gráfica abajo, el conjunto de herramientas de POLONIUM consta de siete backdoors personalizados: CreepyDrive, que abusa de los servicios en la nube de OneDrive y Dropbox para C&C; CreepySnail, que ejecuta los comandos recibidos desde la propia infraestructura de los atacantes; DeepCreep y MegaCreep, que utilizan los servicios de almacenamiento de archivos Dropbox y Mega respectivamente; y FlipCreep, TechnoCreep y PapaCreep, que reciben órdenes de los servidores del atacante. El grupo también ha utilizado varios módulos personalizados para espiar a sus objetivos.
Conjunto de herramientas
POLONIUM es un grupo activo que introduce constantemente modificaciones en sus herramientas personalizadas. El equipo de investigación de ESET ha observado a más de 10 módulos maliciosos diferentes desde que emperon a rastrear el grupo, la mayoría de ellos con varias versiones o con cambios menores para una versión determinada. Algunas de las características más interesantes del conjunto de herramientas del grupo son:
- Abundancia de herramientas: ESET ha observado siete backdoors personalizados diferentes utilizados por el grupo desde septiembre de 2021, y también muchos otros módulos maliciosos para registrar pulsaciones de teclas, tomar capturas de pantalla, ejecutar comandos, tomar fotos con la cámara web o exfiltrar archivos.
- Herramientas personalizadas: En varios ataques realizados por este grupo durante un corto periodo de tiempo, los investigadores han detectado el mismo componente con pequeños cambios. En otros casos, se ha visto un módulo, codificado desde cero, que seguía la misma lógica que algunos componentes anteriores. Sólo en unos pocos casos se ha visto que el grupo utilizase herramientas o código disponibles públicamente. Todo esto indica que POLONIUM construye y mantiene sus propias herramientas.
- Servicios en la nube: El grupo abusa de servicios comunes en la nube como Dropbox, OneDrive y Mega para las comunicaciones de C&C (recibir comandos y exfiltrar datos).
Componentes pequeños: La mayoría de los módulos maliciosos del grupo son pequeños, con una funcionalidad limitada. En uno de los casos, los atacantes utilizaron un módulo para tomar capturas de pantalla y otro para subirlas al servidor de C&C. Del mismo modo, les gusta dividir el código de sus backdoors, distribuyendo la funcionalidad maliciosa en varias librerías DLL pequeñas, quizás esperando que los defensores o los investigadores no observen la cadena de ataque completa