Polonium 黑客组织利用7个后门变体监控以色列组织机构
编译:代码卫士
Polonium组织是微软威胁情报中心在2022年6月发现的,它是一个非常复杂的且当前活跃的黑客组织,似乎专门攻击以色列组织机构,实施间谍活动,目前该组织尚未部署勒索工具如勒索软件或擦除工具。
微软研究员认为 Polonium 组织与黎巴嫩之间存在关联,并认为和伊朗情报和安全部有关。
ESET公司在2022年9月晚些时候发布了研究成果并在10月11日发布,指出Polonium组织至少从2021年9月开始攻击了超过12个组织机构,它们从事工程、信息技术、法律、通信、品牌和市场、媒体、保险和社交服务行业。该组织最近的活动是在2022年9月。
Polonium 组织已开发自定义工具进行截屏、记录击键、通过网络摄像头进行监控、打开逆向shell、提取文件等。该组织的工具集中包括多种开源工具,既有自定义也有现成工具以及七个自定义后门:
CreepyDrive:滥用OneDrive和Dropbox云服务作为命令和控制服务器
CreepySnail:执行从攻击者自身基础设施处接收到的命令
DeepCreep和MegaCreep:分别利用Dropbox和Mega文件存储服务
FlipCreep、TechnoCreep和PapaCreep:接受攻击者服务器发出的命令
最近出现的PapaCreep 后门出现在2022年9月,此前从未被公开。它是一个模块化后门,将命令执行、C&C通信、文件上传和文件下载功能破解为小的组件。BleepingComputer 报道称,“这样做的好处是这些组件可独立运行,通过受陷系统中的单独调度任务而实现持久性,并导致后门更难以检测。”
ESET指出,“Polonium组织在自定义工具中引入多个版本和更改,展示了该组织对目标持续且长期的监控行为。”
虽然ESET公司无法了解Polonium组织如何获得对目标系统的初始访问权限,但其中一些受害者的Fortinet VPN账户凭据在2021年9月泄露到网络。因此很可能攻击者是利用这些泄露的凭据访问受害者的内网。这和微软此前的研究成果存在关联,当时微软表示该组织利用已知的VPN漏洞缺陷来攻陷网络。
ESET公司指出,“Polonium组织并未在我们所分析的任何样本中使用域名,只使用IP地址。多数服务器是专门的虚拟私有服务器,可能是购买的而非攻陷的,它们托管在HostGW上。”研究人员指出这样就更难以映射Polonium组织的活动了。
以色列政府网站遭史上规模最大的DDoS 攻击
以色列网络武器出口对象国从102个锐减至37个
Moses Staff攻陷以色列网络并加密数据,拒绝谈判
近期 0day exploit 满天飞,原来是神秘的以色列公司 Candiru 在捣鬼
https://www.infosecurity-magazine.com/news/polonium-seven-backdoors-spy?utm_source=twitterfeed&utm_medium=twitter
题图:土星,NASA
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。