استفاده گروه هک POLONIUM از بدافزار Creepy علیه اسرائیل

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir hacking group polonium uses creepy malware against israel 1
محققان امنیتی بدافزار ناشناخته‌ای را فاش کردند که توسط گروه هکر جاسوسی سایبری "POLONIUM" که به نظر می‌رسد منحصراً سازمان‌های اسرائیلی را هدف قرار می‌دهند، استفاده می‌شود.

به گفته ESET، گروه POLONIUM از طیف گسترده‌ای از بدافزار‌های سفارشی علیه شرکت‌های مهندسی، فناوری اطلاعات، قانون، ارتباطات، بازاریابی و بیمه در اسرائیل استفاده می‌کند. کمپین‌های این گروه هنوز در زمان نگارش این مقاله فعال هستند.

تیم Threat Intelligence مایکرؤسافت برای اولین بار فعالیت‌های مخرب این گروه را در ژوئن ۲۰۲۲ مستند کرد و بنا به ادعا‌های خود، عوامل تهدید POLONIUM در لبنان را با وزارت اطلاعات و امنیت ایران (MOIS) مرتبط دانست.

مجموعه ابزار POLONIUM
مجموعه ESET گزارش کرد که POLONIUM صرفاً به جاسوسی سایبری علاقه دارد و از وایپر‌های داده، باج‌افزار یا سایر ابزار‌های آسیب‌رسان به فایل استفاده نمی‌کند.

از سپتامبر ۲۰۲۱، هکر‌ها حداقل از هفت نوع backdoor سفارشی استفاده کرده‌اند، از جمله چهار backdoor ناشناخته جدید به نام‌های «TechnoCreep»، «FlipCreep»، «MegaCreep» و «PapaCreep».

takian.ir hacking group polonium uses creepy malware against israel 2

برخی از backdoor‌ها، از خدمات ابری قانونی مانند OneDrive، Dropbox و Mega برای عمل به عنوان سرور‌های command-and-control (C2) سواستفاده می‌کنند. سایر backdoor‌ها از اتصالات استاندارد TCP برای سرور‌های C2 راه دور یا دریافت دستورات برای اجرا از فایل‌های میزبانی شده در سرور‌های FTP استفاده می‌کنند.

در حالی که همه backdoor‌ها ویژگی‌های یکسانی ندارند، فعالیت مخرب آن‌ها شامل امکان ثبت ضربه‌های کلید ورودی، گرفتن اسکرین شات از دسکتاپ، عکس‌برداری با وب‌کم، استخراج فایل‌ها از میزبان، نصب بدافزار اضافی و اجرای دستورات روی دستگاه آلوده است.

آخرین backdoor با نام PapaCreep است، که در سپتامبر ۲۰۲۲ مشاهده شد و اولین مورد در C++ است، در حالی که هکر‌ها نسخه‌های قدیمی‌تر را در PowerShell یا C# نوشته‌اند.

بدافزار PapaCreep همچنین ماژولار است و اجرای فرمان، ارتباط C2، آپلود فایل و فانکشن دانلود فایل را به اجزای کوچک تقسیم می‌کند.

مزیت آن، در این است که اجزا می‌توانند به طور مستقل اجرا شوند، از طریق وظایف برنامه‌ریزی شده جداگانه در سیستم نقض شده باقی بمانند و تشخیص backdoor را سخت‌تر کنند.

takian.ir hacking group polonium uses creepy malware against israel 3

علاوه بر انواع "Creepy"، گروه POLONIUM همچنین از ابزار‌های متن باز مختلف، سفارشی یا غیر معمول، برای پراکسی معکوس، گرفتن اسکرین شات، keylogging و ضبط تصویر وب کم استفاده می‌کند، بنابراین سطحی از افزونگی و امکانات گسترده در این عملیات وجود دارد.

یک گروه هک در حال گریز

مجموعه ESET نتوانست تاکتیک‌های POLONIUM را که در ابتدا برای به خطر انداختن شبکه استفاده می‌شد، کشف کند، اما مایکرؤسافت قبلاً گزارش داده بود که این گروه از نقص‌های محصول VPN شناخته شده برای نفوذ به شبکه‌ها استفاده می‌کند.

زیرساخت شبکه خصوصی عامل تهدید در پس سرور‌های خصوصی مجازی یا Virtual Private Servers (VPS) و وب‌سایت‌های در معرض خطر پنهان است، بنابراین شناسایی الگوی فعالیت‌های این گروه همچنان مبهم است.

گروه POLONIUM یک تهدید پیچیده و بسیار هدفمند است که در حال حاضر نقطه تلاقی آن در اسرائیل ثابت است، اما اگر اولویت‌ها یا منافع تغییر کنند، این امر می‌تواند هر لحظه تغییر کند.

برچسب ها: Cyber Spy, اسکرین شات, PapaCreep, MegaCreep, TechnoCreep, FlipCreep, Threat Intelligence, Creepy, Virtual Private Server, پولونیوم, Polonium, VPS, keylogging, MOIS, OneDrive, Dropbox, ESET, TCP, Iran, ایران, israel, malware, اسرائیل, VPN, گروه هکری, Cyber Security, حملات سایبری, جاسوسی سایبری, backdoor, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ