•  ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ ДЛЯ ГОСУДАРСТВЕННОГО СЕКТОРА ЭКОНОМИКИ, ЧАСТНОГО БИЗНЕСА, ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ  
ESET Research обнаружила, что связанная с Ираном группа APT POLONIUM нацелена на Израиль с помощью Creepy Backdoor и злоупотребляет популярными облачными сервисами

ESET Research обнаружила, что связанная с Ираном группа APT POLONIUM нацелена на Израиль с помощью Creepy Backdoor и злоупотребляет популярными облачными сервисами

Исследователи ESET недавно проанализировали ранее недокументированные специальные бэкдоры и инструменты кибершпионажа, развернутые в Израиле группой POLONIUM APT. ESET назвала пять ранее недокументированных бэкдоров суффиксом «-Creep». Согласно телеметрии ESET, POLONIUM нацелен на более чем дюжину организаций в Израиле, по крайней мере, с сентября 2021 года, причем последние действия группы наблюдались в сентябре 2022 года. Вертикали, на которые нацелена эта группа, включают инженерное дело, информационные технологии, юриспруденцию, коммуникации, брендинг. и маркетинг, СМИ, страхование и социальные услуги. POLONIUM — группа кибершпионажа, впервые задокументированная Microsoft в июне 2022 года. По данным Microsoft, группа базируется в Ливане и координирует свою деятельность с другими субъектами, связанными с Министерством разведки и безопасности Ирана.

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.

logo.jpg   РЕКОМЕНДУЕМЫЕ РЕСУРСЫ:
Программное обеспечение для бизнеса
Программное обеспечение для бизнеса - Каталог ведущих Производителей ПО. Официальная поставка, подбор Решений, тестовые версии, внедрение, техническая поддержка. Подробнее>>
Информационная Безопасность
Антивирусы, защита сетей, шифрование данных, резервное копирование и восстановление информации, управление доступом. Подробнее>>
Системное ПО
Операционные системы для рабочих станций и серверов, решения для виртуализации, удаленный доступ, администрирование, коммуникации. Подробнее>>
Графика, Проектирование, дизайн, полиграфия
Графические редакторы, 3d - моделирование, программы для архитекторов и инженеров. Подробнее>>

Юридическим лицам и ИП - Акции, Скидки, Специальные цены для Новых и Постоянных Заказчиков ДАТАСИСТЕМ.

КОММЕНТАРИЙ РЕДАКЦИИ:
 На момент публикации данного материала имеются частичные ограничения использования и поставки Программного Обеспечения ESET NOD32 в Российской Федерации. Для уточнения возможности купить или продлить лицензию ESET NOD32 отправьте запрос Поставщику (заполните Форму в конце статьи).
Рекомендуем запросить консультацию по подбору ИТ-Решений, аналогичного функционала из числа доступных Российских и Иностранных Производителей (предложение по Программе ИМПОРТОЗАМЕЩЕНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ).


- Сосредоточившись только на израильских целях, POLONIUM атаковал более десятка организаций в различных вертикалях, таких как инженерия, информационные технологии, юриспруденция, коммуникации, брендинг и маркетинг, СМИ, страхование и социальные услуги.
- По оценке Microsoft, POLONIUM — это оперативная группа, базирующаяся в Ливане, которая координирует свою деятельность с другими субъектами, связанными с министерством разведки и безопасности Ирана.
- Согласно данным телеметрии ESET, с сентября 2021 года группа использовала не менее семи различных бэкдоров, а последние действия были зарегистрированы только в сентябре 2022 года. ESET назвала пять ранее недокументированных бэкдоров суффиксом «-Creep».
- Группа разработала собственные инструменты для создания снимков экрана, регистрации нажатий клавиш, шпионажа через веб-камеру, открытия обратных оболочек, извлечения файлов и многого другого.
- Для связи управления и контроля POLONIUM злоупотребляет распространенными облачными сервисами, такими как Dropbox, OneDrive и Mega.

По данным ESET Research, POLONIUM является очень активным злоумышленником с обширным арсеналом вредоносных инструментов и постоянно модифицирует их и разрабатывает новые. Общей характеристикой нескольких инструментов группы является злоупотребление облачными сервисами, такими как Dropbox, Mega и OneDrive, для управления и контроля (C&C). Разведка и публичные отчеты о POLONIUM очень скудны и ограничены, вероятно, потому, что атаки группы являются узконаправленными, а первоначальный вектор компрометации неизвестен.

«Многочисленные версии и изменения, внесенные POLONIUM в свои пользовательские инструменты, показывают постоянные и долгосрочные усилия по слежке за целями группы. ESET может сделать вывод из своего набора инструментов, что они заинтересованы в сборе конфиденциальных данных от своих целей. Похоже, что эта группа не занимается саботажем или действиями программ-вымогателей», — говорит исследователь ESET Матиас Поролли, проанализировавший вредоносное ПО.

Набор инструментов POLONIUM состоит из семи специализированных бэкдоров: CreepyDrive, который использует облачные сервисы OneDrive и Dropbox для C&C; CreepySnail, выполняющий команды, полученные от собственной инфраструктуры злоумышленников; DeepCreep и MegaCreep, которые используют службы хранения файлов Dropbox и Mega соответственно; и FlipCreep, TechnoCreep и PapaCreep, которые получают команды от серверов злоумышленников. Группа также разработала несколько пользовательских модулей для слежки за своими целями путем создания скриншотов, регистрации нажатий клавиш, слежки через веб-камеру, открытия обратных оболочек, извлечения файлов и многого другого.

«Большинство вредоносных модулей группы небольшие, с ограниченным функционалом. В одном случае злоумышленники использовали один модуль для снятия скриншотов, а другой — для их загрузки на командный сервер. Точно так же они любят делить код в своих бэкдорах, распределяя вредоносную функциональность по различным небольшим библиотекам DLL, возможно, рассчитывая, что защитники или исследователи не будут наблюдать за всей цепочкой атаки», — объясняет Поролли.

Набор инструментов POLONIUM состоит из семи специализированных бэкдоров: CreepyDrive, который использует облачные сервисы OneDrive и Dropbox для C&C; CreepySnail, выполняющий команды, полученные от собственной инфраструктуры злоумышленников; DeepCreep и MegaCreep, которые используют службы хранения файлов Dropbox и Mega соответственно; и FlipCreep, TechnoCreep и PapaCreep, которые получают команды от серверов злоумышленников. Группа также разработала несколько пользовательских модулей для слежки за своими целями путем создания скриншотов, регистрации нажатий клавиш, слежки через веб-камеру, открытия обратных оболочек, извлечения файлов и многого другого

Хронология наблюдаемых бэкдоров, развернутых POLONIUM


Материал подготовлен: ESET NOD32

Акции, Скидки, Специальные цены для Новых и Постоянных Заказчиков ДАТАСИСТЕМ.

logo.jpg   РЕКОМЕНДУЕМЫЕ РЕСУРСЫ:
Программное обеспечение для бизнеса
Программное обеспечение для бизнеса - Каталог ведущих Производителей ПО. Официальная поставка, подбор Решений, тестовые версии, внедрение, техническая поддержка. Подробнее>>
Юридическим лицам и ИП
Акции, Скидки, Специальные цены для Новых и Постоянных Заказчиков ДАТАСИСТЕМ. Подробнее>>
Учебным заведениям
Акции, Скидки, Специальные предложения для Образовательных Учреждений. Подробнее>>
Для Медицины
Акции, Скидки, Специальные предложения для Учреждений Здравоохранения. Подробнее>>
Государственным учреждениям
Акции, Скидки, Специальные предложения для Государственных (Правительственных) Учреждений. Подробнее>>

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.