发布于2022年10月16日3年前 至少自 2021 年 9 月以来,被追踪为 Polonium 的威胁参与者与针对以色列实体的十多次高度针对性的攻击有关,这些攻击具有七个不同的自定义后门。 网络安全公司 ESET 表示,这些入侵针对的是各个垂直领域的组织,例如工程、信息技术、法律、通信、品牌和营销、媒体、保险和社会服务。 钋是微软给一个复杂的操作小组起的化学元素主题名称,该小组据信总部设在黎巴嫩,并以专门打击以色列目标而闻名。 该组织开展的活动于今年 6 月初首次曝光,当时这家 Windows 制造商披露,它暂停了由对手创建的 20 多个恶意 OneDrive 帐户,用于命令和控制 (C2) 目的。 攻击的核心是使用被称为 CreepyDrive 和 CreepyBox 的植入物,因为它们能够将敏感数据泄露到攻击者控制的 OneDrive 和 Dropbox 帐户中。还部署了一个名为 CreepySnail 的 PowerShell 后门。 ESET 最新发现的另外五个以前未记录的后门使一个活跃的、面向间谍的威胁行为者成为焦点,该行为者不断改进和重组其恶意软件库。 ESET 研究员 Matías Porolli说: “Polonium 在其自定义工具中引入的众多版本和更改显示了持续和长期的努力来监视该组织的目标。 ” “该组织似乎没有参与任何破坏或勒索软件行动。” 定制的黑客工具列表如下 - CreepyDrive/CreepyBox - 一个 PowerShell 后门,它从存储在 OneDrive 或 Dropbox 上的文本文件中读取并执行命令。 CreepySnail - 从攻击者自己的 C2 服务器接收命令的 PowerShell 后门 DeepCreep - AC# 后门,从存储在 Dropbox 帐户中的文本文件中读取命令并泄露数据 MegaCreep - 从存储在 Mega 云存储服务中的文本文件中读取命令的 AC# 后门 FlipCreep - AC# 后门,从存储在 FTP 服务器中的文本文件中读取命令并泄露数据 TechnoCreep - AC# 后门,通过 TCP 套接字与 C2 服务器通信以执行命令和泄露数据 PapaCreep - 一个 C++ 后门,可以通过 TCP 套接字从远程服务器接收和执行命令 PapaCreep 于 2022 年 9 月被发现,是一种模块化恶意软件,包含四个不同的组件,用于运行命令、接收和发送命令及其输出,以及上传和下载文件。 这家斯洛伐克网络安全公司表示,它还发现了其他几个模块,这些模块负责记录击键、捕获屏幕截图、通过网络摄像头拍照以及在受感染机器上建立反向 shell。 尽管攻击中使用了大量恶意软件,但用于破坏网络的初始访问向量目前尚不清楚,尽管怀疑它可能涉及利用 VPN 漏洞。 “该组织的大多数恶意模块都很小,功能有限,”Porolli说。“他们喜欢分割后门中的代码,将恶意功能分布到各种小的 DLL 中,也许期望防御者或研究人员不会观察到完整的攻击链。”
