ESET Research, APT grubu POLONIUM’un İsrail’i hedef alan siber saldırılarını analiz etti Siber güvenlik şirketi ESET, POLONIUM APT grubu …
ESET Research, APT grubu POLONIUM’un İsrail’i hedef alan siber saldırılarını analiz etti
Siber güvenlik şirketi ESET, POLONIUM APT grubu tarafınca İsrail’de dağıtılan, daha önce belgelenmemiş özel arka kapıları ayrıca siber casusluk araçlarını analiz etti. ESET telemetrisine göre POLONIUM, Eylül 2021’den bu yana İsrail’de bir düzineden fazla kuruluşu hedef aldı. Grubun en son eylemleri Eylül 2022’de gözlemlendi.
ESET araştırmacılarının ortaya koyduğu verilere göre yalnızca İsrail’deki hedeflere odaklanan POLONIUM, mühendislik, bilgilendirme teknolojisi, hukuk, iletişim, markalaşma ayrıca pazarlama, medya, sigorta ayrıca sosyal hizmetler gibi çeşitli sektörlerdeki bir düzineden fazla kuruluşa saldırdı. Microsoft, POLONIUM’u İran İstihbarat ayrıca Güvenlik Bakanlığı’na bağlı diğer aktörlerle koordine etkinlikler yürüten, Lübnan merkezli operasyonel bir grup olarak değerlendiriyor.
ESET telemetrisine göre grup, Eylül 2021’den bu yana en az yedi farklı özel arka kapı kullandı ayrıca en son eylemleri Eylül 2022’de gözlemlendi. ESET, daha önce belgelenmemiş beş arka kapıyı “-Creep” son ekiyle adlandırdı. Grup, ekran görüntüsü almak, tuş vuruşlarını kaydetmek, web kamerası aracılığıyla casusluk yapmak, dosyaları sızdırmak ayrıca daha fazlası için özel araçlar geliştirdi. POLONIUM, komuta ayrıca kontrol iletişimi için Dropbox, OneDriayrıca ayrıca Mega gibi yaygın bulut hizmetlerini kötüye kullanıyor.
ESET Research’e göre POLONIUM, çok sayıda kötü amaçlı yazılım aracı cephanesine sahip aktif bir tehdit aktörü ayrıca bu araçları sürekli olarak değiştiriyor. Yeni araçlar geliştiriyor. Grup araçlarının ortak bir özelliği, Dropbox, Mega ayrıca OneDriayrıca gibi bulut hizmetlerinin komuta ayrıca kontrol (C&C) iletişimleri için kötüye kullanılması. Grubun saldırıları yüksek oranda hedefe yönelik olduğundan POLONIUM hakkında istihbarat ayrıca kamuoyu raporları çok az ayrıca sınırlı.
Kötü amaçlı yazılımı analiz eden ESET araştırmacısı Matías Porolli şu açıklamalarda bulundu: “POLONIUM’un özel araçlarına eklediği sayısız sürüm ayrıca değişiklik, grubun hedeflerini gözetlemek açısından sürekli ayrıca uzun vadeli bir çaba gerektiriyor. ESET, araç setlerini göz önünde bulundurduğunda grubun hedeflerinden gizli veri toplamakla ilgilendiği anlamını çıkarabilir. Grup, herhangi bir sabotaj veya fidye yazılımı eylemi gerçekleştirmiyor gibi görünüyor.”
POLONIUM’un araç seti yedi özel arka kapıdan oluşuyor: C&C için OneDriayrıca ayrıca Dropbox bulut hizmetlerini kötüye kullanan CreepyDrive; saldırganların kendi altyapısından aldığı komutları yürüten CreepySnail; sırasıyla Dropbox ayrıca Mega dosya depolama hizmetlerinden yararlanan DeepCreep ayrıca MegaCreep; saldırganların sunucularından komutlar alan FlipCreep, TechnoCreep ayrıca PapaCreep. Grup ve ekran görüntüleri alarak, tuş vuruşlarını kaydederek, web kamerası aracılığıyla casusluk yaparak, dosyaları sızdırarak ayrıca daha fazlasını yaparak hedeflerini gözetlemek için birkaç özel modül geliştirdi.
Porolli bu durumu şöyle açıklıyor: “Grubun kötü amaçlı modüllerinin çoğu, sınırlı işlevselliğe sahip ayrıca küçük. Bir vakada, saldırganlar ekran görüntüsü almak için bir modül ayrıca bu görüntüleri C&C sunucusuna yüklemek için başka bir modül kullandı. Ve benzer şekilde, kötü amaçlı işlevleri çeşitli küçük DLL’lere dağıtarak ayrıca sistemi savunanların veya araştırmacıların tüm saldırı zincirini gözlemlemeyeceğini umarak, kodu arka kapılarında bölmeyi seviyorlar.”
