Un acteur menaçant suivi sous le nom de Polonium a été lié à plus d’une douzaine d’attaques très ciblées visant des entités israéliennes avec sept portes dérobées personnalisées différentes depuis au moins septembre 2021.
Les intrusions visaient des organisations de divers secteurs verticaux, tels que l’ingénierie, les technologies de l’information, le droit, les communications, l’image de marque et le marketing, les médias, les assurances et les services sociaux, a déclaré la société de cybersécurité ESET.
Le polonium est le surnom sur le thème des éléments chimiques donné par Microsoft à un groupe opérationnel sophistiqué qui serait basé au Liban et qui est connu pour frapper exclusivement des cibles israéliennes.
Les activités entreprises par le groupe ont été révélées pour la première fois au début du mois de juin lorsque le fabricant de Windows a révélé qu’il avait suspendu plus de 20 comptes OneDrive malveillants créés par l’adversaire à des fins de commande et de contrôle (C2).
Au cœur des attaques se trouve l’utilisation d’implants appelés CreepyDrive et CreepyBox pour leur capacité à exfiltrer des données sensibles vers des comptes OneDrive et Dropbox contrôlés par des acteurs. Une porte dérobée PowerShell appelée CreepySnail est également déployée.
La dernière découverte par ESET de cinq autres portes dérobées auparavant non documentées met en lumière un acteur de menace actif axé sur l’espionnage qui affine et réorganise constamment son arsenal de logiciels malveillants.
« Les nombreuses versions et modifications introduites par Polonium dans ses outils personnalisés montrent un effort continu et à long terme pour espionner les cibles du groupe », a déclaré Matías Porolli, chercheur chez ESET. a dit. « Le groupe ne semble pas s’engager dans des actions de sabotage ou de ransomware. »
La liste des outils de piratage sur mesure est la suivante –
- CreepyDrive/CreepyBox – Une porte dérobée PowerShell qui lit et exécute des commandes à partir d’un fichier texte stocké sur OneDrive ou Dropbox.
- EffrayantEscargot – Une porte dérobée PowerShell qui reçoit les commandes du propre serveur C2 de l’attaquant
- DeepCreep – Porte dérobée AC# qui lit les commandes d’un fichier texte stocké dans les comptes Dropbox et exfiltre les données
- MégaCreep – Porte dérobée AC # qui lit les commandes à partir d’un fichier texte stocké dans le service de stockage en nuage Mega
- FlipCreep – Porte dérobée AC# qui lit les commandes d’un fichier texte stocké sur un serveur FTP et exfiltre les données
- TechnoCreep – Porte dérobée AC# qui communique avec le serveur C2 via des sockets TCP pour exécuter des commandes et exfiltrer des données
- PapaCreep – Une porte dérobée C++ qui peut recevoir et exécuter des commandes depuis un serveur distant via des sockets TCP
PapaCreep, repéré aussi récemment qu’en septembre 2022, est un logiciel malveillant modulaire qui contient quatre composants différents conçus pour exécuter des commandes, recevoir et envoyer des commandes et leurs sorties, et charger et télécharger des fichiers.
La société slovaque de cybersécurité a déclaré avoir également découvert plusieurs autres modules chargés de consigner les frappes au clavier, de capturer des captures d’écran, de prendre des photos via webcam et d’établir un shell inversé sur la machine compromise.
Malgré l’abondance de logiciels malveillants utilisés dans les attaques, le vecteur d’accès initial utilisé pour violer les réseaux est actuellement inconnu, bien que l’on soupçonne qu’il ait pu impliquer l’exploitation de failles VPN.
« La plupart des modules malveillants du groupe sont petits, avec des fonctionnalités limitées », explique Porolli. a dit. « Ils aiment diviser le code dans leurs portes dérobées, distribuant des fonctionnalités malveillantes dans diverses petites DLL, s’attendant peut-être à ce que les défenseurs ou les chercheurs n’observent pas la chaîne d’attaque complète. »