Бесплатно Экспресс-аудит сайта:

12.10.2022

ESET: неизвестный бэкдор из Ливана используется для шпионажа за жителями Израиля

Исследователи безопасности ESET обнаружили ранее неизвестное вредоносное ПО , используемое кибершпионской группировкой POLONIUM , которая атакует исключительно израильские организации. По данным ESET, POLONIUM нацелена на инженерные, IT-, юридические, коммуникационные, маркетинговые и страховые компании в Израиле.

ESET сообщает, что POLONIUM занимается исключительно кибершпионажем и не развертывает вайперы и программы-вымогатели. С сентября 2021 года хакеры использовали как минимум 7 вариантов бэкдоров, в том числе 4 новых недокументированных бэкдора «TechnoCreep», «FlipCreep», «MegaCreep» и «PapaCreep».

7 бэкдоров, развернутых POLONIUM с сентября 2021 года

Некоторые бэкдоры используют облачные сервисы OneDrive, Dropbox и Mega в качестве серверов управления и контроля (C&C). Другие бэкдоры используют стандартные TCP -соединения с удаленными C&C-серверами или получают команды для выполнения из файлов, размещенных на FTP-серверах.

Функции бэкдоров различаются, однако, они позволяют:

  • регистрировать нажатия клавиш;
  • делать снимки экрана рабочего стола;
  • делать фотографии с помощью веб-камеры;
  • эксфильтровать файлы с хоста;
  • устанавливать дополнительные вредоносные программы;
  • выполнять команды на зараженном устройстве.

Бэкдор PapaCreep также является модульным, разбивая выполнение команд, связь с C&C и загрузку файлов на небольшие компоненты. Преимущество заключается в том, что компоненты могут работать независимо, сохраняться через отдельные запланированные задачи во взломанной системе и затруднять обнаружение бэкдора.

POLONIUM также использует различные инструменты с открытым исходным кодом для создания обратного прокси, скриншотов, кейлоггинга и подключения веб-камеры.

ESET не удалось точно определить тактику POLONIUM, но Microsoft ранее сообщала, что группа использовала известные уязвимости VPN -продукта для взлома сетей. Инфраструктура частной сети злоумышленника скрыта за VPS-серверами и скомпрометированными веб-сайтами, поэтому картирование деятельности группы остается неясным.