ESET安全研究人员揭示了 络间谍黑客组织“POLONIUM”以前使用的未知恶意软件,这些攻击者似乎专门针对以色列。
根据ESET的说法,“POLONIUM”对以色列的工程,IT,法律,通信,营销和保险公司使用广泛的自定义恶意软件。
微软的威胁情 团队于2022年6月首次记录了该组织的恶意活动,将黎巴嫩的“POLONIUM”APT组织与伊朗情 和安全部(MOIS)的联系起来。
ESET 告说,POLONIUM仅对 络间谍活动感兴趣,自2021年9月以来,黑客已使用至少七种自定义后门的变体,包括四个新的未记录的后门,称为 ‘TechnoCreep’, ‘FlipCreep’, ‘MegaCreep’, ‘PapaCreep’。
自2021年9月以来部署的七个后门(ESET)
一些后门程序滥用合法的云服务(如 OneDrive、Dropbox 和 Mega)来充当C2服务器。其他后门程序利用与远程 C2 服务器的标准 TCP 连接,或从 FTP 服务器上托管的文件获取要执行的命令。
虽然并非所有后门程序都具有相同的功能,但它们的恶意活动包括记录击键,截图,使用 络摄像头拍照,从主机窃取文件,安装其他恶意软件以及在受感染设备上执行命令的能力。
最新的后门PapaCreep于2022年9月被发现,PapaCreep也是模块化的,将其命令执行,C2通信,文件上传和文件下载功能分解为小组件。
各组件可以独立运行,通过受害系统中的计划任务持续存在,并使后门更难检测。
除这些变体之外,POLONIUM还使用各种开源工具,用于反向代理,屏幕截图,键盘记录和 络摄像头捕捉,因此操作中存在一定程度的冗余。
ESET未发现POLONIUM最初用于破坏 络的策略,微软此前 告称,该组织正在使用已知的VPN产品漏洞来入侵 络。
攻击者的专用 络基础设施隐藏在虚拟专用服务器(VPS)和合法的受感染 站后面,因此该组织的活动仍然模糊不清。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!