Concentrandosi solo su obiettivi israeliani, POLONIUM colpisce organizzazioni in vari settori verticali. Microsoft ritiene che si tratti di un gruppo operativo con sede in Libano che coordina le proprie attività con soggetti affiliati al Ministero dell’Intelligence e della Sicurezza iraniano. Il gruppo ha sviluppato tool ad hoc per raccogliere informazioni. Per le operazioni di command and control sfrutta illecitamente i servizi cloud più noti come Dropbox, OneDrive e Mega
Researchers of ESET, leader globale nel mercato della cybersecurity, hanno recentemente analizzato backdoor personalizzate e tool di cyberspionaggio precedentemente non documentati, distribuiti in Israele dal gruppo APT POLONIUM. ESET ha denominato le cinque backdoor con il suffisso “-Creep”. Secondo la telemetria di ESET, POLONIUM ha rivolto l’attenzione a più di una dozzina di organizzazioni in Israele a partire almeno dal settembre 2021, mentre le azioni più recenti del gruppo sono state osservate nel settembre di quest’anno. I settori verticali presi di mira da questo gruppo spaziano da ingegneria, informatica, giustizia, comunicazioni, branding e marketing, media, assicurazioni e servizi sociali. POLONIUM è un gruppo di cyberspionaggio documentato per la prima volta da Microsoft nel giugno 2022. L’azienda ritiene che il gruppo abbia sede in Libano e coordini le proprie attività con altri soggetti affiliati al Ministero dell’Intelligence e della Sicurezza iraniano.
Secondo ESET Research, POLONIUM è un player di minacce molto attivo che dispone di un vasto arsenale di tool malware che vengono costantemente aggiornati e sviluppati. Una caratteristica comune a diversi tool è lo sfruttamento di servizi cloud come Dropbox, Mega e OneDrive per le attività di command and control (C&C). Le informazioni e i rapporti ufficiali su POLONIUM sono scarsi e scarni, probabilmente perché gli attacchi del gruppo sono altamente mirati e il vettore di compromissione iniziale non è noto.
“Le numerose versioni e modifiche introdotte da POLONIUM nei suoi tool personalizzati dimostrano uno sforzo continuo e a lungo termine per spiare le organizzazioni che il gruppo ha scelto come obiettivi. ESET può dedurre dal set di strumenti che utilizzano che sono interessati a raccogliere dati riservati. Il gruppo non sembra impegnato in azioni di sabotaggio o ransomware”, afferma Matías Porolli, ricercatore di ESET che ha analizzato il malware.
Il set di strumenti di POLONIUM consiste in sette backdoor personalizzate: CreepyDrive, che sfrutta i servizi cloud OneDrive e Dropbox per il C&C; CreepySnail, che esegue i comandi ricevuti dall’infrastruttura degli aggressori; DeepCreep e MegaCreep, che utilizzano rispettivamente i servizi di archiviazione file Dropbox e Mega; e FlipCreep, TechnoCreep e PapaCreep, che ricevono i comandi dai server degli aggressori. Il gruppo ha anche sviluppato diversi moduli personalizzati per spiare i propri bersagli, scattando screenshot, registrando sequenze di tasti, spiando la webcam, aprendo shell inverse, esfiltrando file e altro ancora.
“La maggior parte dei moduli malevoli del gruppo sono di dimensioni ridotte, con funzionalità limitate. In un caso gli aggressori hanno utilizzato un modulo per catturare screenshot e un altro per caricarli sul server C&C. In modo analogo, preferiscono dividere il codice delle loro backdoor, distribuendo le funzionalità dannose in varie DLL di dimensioni modeste, forse ritenendo che gli addetti alla sicurezza o i ricercatori non analizzino a fondo l’intera sequenza dell’attacco”, spiega Porolli.
Per ulteriori informazioni tecniche su POLONIUM, consultate il blog “Polonium targets Israel with Creepy malware” su WeLiveSecurity.