安全研究人员揭示了网络间谍黑客组织“POLONIUM”使用的以前未知的恶意软件,这些威胁行为者似乎专门针对以色列组织。
据 ESET 称,POLONIUM 对以色列的工程、IT、法律、通信、营销和保险公司使用了广泛的自定义恶意软件。在撰写本文时,该组织的活动仍在进行中。
微软的威胁情报团队 于 2022 年 6 月首次记录了该组织的恶意活动,将黎巴嫩的 POLONIUM 威胁参与者与伊朗情报和安全部 (MOIS) 联系起来。
POLONIUM 工具集
ESET 报告称 POLONIUM 只对网络间谍活动感兴趣,不会部署数据擦除器、勒索软件或其他文件破坏工具。
自 2021 年 9 月以来,黑客至少使用了七种自定义后门变体,其中包括四个新的无证后门,称为“TechnoCreep”、“FlipCreep”、“MegaCreep”和“PapaCreep”。
一些后门滥用合法的云服务,例如 OneDrive、Dropbox 和 Mega,充当命令和控制 (C2) 服务器。其他后门利用标准 TCP 连接到远程 C2 服务器或从托管在 FTP 服务器上的文件中获取命令来执行。
虽然并非所有后门都具有相同的功能,但它们的恶意活动包括记录击键、截取桌面屏幕截图、使用网络摄像头拍照、从主机中窃取文件、安装其他恶意软件以及在受感染设备上执行命令的能力。
2022 年 9 月发现的最新后门 PapaCreep 是第一个使用 C++ 的后门,而黑客使用 PowerShell 或 C# 编写了旧版本。
PapaCreep 也是模块化的,将其命令执行、C2 通信、文件上传和文件下载功能分解为小组件。
优点是组件可以独立运行,通过被破坏系统中的单独计划任务持续存在,并使后门更难检测。
除了“令人毛骨悚然”的变体,POLONIUM 还使用各种开源工具,无论是定制的还是现成的,用于反向代理、截图、键盘记录和网络摄像头捕捉,因此操作中有一定程度的冗余。
一个难以捉摸的黑客组织
ESET 无法发现 POLONIUM 最初用于破坏网络的策略,但微软此前曾报道该组织正在使用已知的 VPN 产品缺陷来破坏网络。
威胁参与者的专用网络基础设施隐藏在虚拟专用服务器 (VPS) 和合法的受感染网站后面,因此映射该组织的活动仍然很模糊。
POLONIUM 是一种复杂且具有高度针对性的威胁,其目标目前已锁定在以色列,但如果优先事项或利益发生变化,这种情况随时可能发生变化。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客组织 POLONIUM 对以色列使用“令人毛骨悚然”的恶意软件
