Güvenlik araştırmacıları, siber casusluk hack grubu ‘POLONIUM’ tarafından kullanılan daha önce bilinmeyen kötü amaçlı yazılımları, yalnızca İsrailli kuruluşları hedef alıyor gibi görünen tehdit aktörlerini ortaya çıkardı.
ESET’e göre POLONIUM, İsrail’deki mühendislik, BT, hukuk, iletişim, pazarlama ve sigorta şirketlerine karşı çok çeşitli özel kötü amaçlı yazılımlar kullanıyor. Grubun kampanyaları, yazı yazılırken hala aktiftir.
Microsoft’un Tehdit İstihbaratı ekibi ilk belgelenmiş grubun Haziran 2022’deki kötü niyetli faaliyetleri, Lübnan’daki POLONIUM tehdit aktörlerini İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile ilişkilendiriyor.
POLONIUM araç seti
ESET raporları POLONIUM’un yalnızca siber casuslukla ilgilendiğini ve veri silicileri, fidye yazılımlarını veya dosyaya zarar veren diğer araçları kullanmadığını.
Eylül 2021’den bu yana bilgisayar korsanları, ‘TechnoCreep’, ‘FlipCreep’, ‘MegaCreep’ ve ‘PapaCreep’ olarak bilinen dört yeni belgesiz arka kapı da dahil olmak üzere en az yedi özel arka kapı çeşidi kullandı.
Bazı arka kapılar, OneDrive, Dropbox ve Mega gibi meşru bulut hizmetlerini komuta ve kontrol (C2) sunucuları gibi davranmak için kötüye kullanır. Diğer arka kapılar, uzak C2 sunucularına standart TCP bağlantılarını kullanır veya FTP sunucularında barındırılan dosyalardan yürütülecek komutları alır.
Tüm arka kapılar aynı özelliklere sahip olmasa da, kötü niyetli etkinlikleri, tuş vuruşlarını kaydetme, masaüstünün ekran görüntülerini alma, web kamerası ile fotoğraf çekme, ana bilgisayardan dosya sızdırma, ek kötü amaçlı yazılım yükleme ve virüs bulaşmış cihazda komut yürütme özelliklerini içerir.
Eylül 2022’de görülen en son arka kapı PapaCreep, C++’daki ilk arka kapı olurken, bilgisayar korsanları daha eski sürümleri PowerShell veya C# ile yazdı.
PapaCreep ayrıca modülerdir ve komut yürütme, C2 iletişimi, dosya yükleme ve dosya indirme işlevlerini küçük bileşenlere ayırır.
Avantajı, bileşenlerin bağımsız olarak çalışabilmesi, ihlal edilen sistemde ayrı zamanlanmış görevler aracılığıyla devam edebilmesi ve arka kapının tespit edilmesini zorlaştırmasıdır.
‘Creepy’ çeşitlerinin yanı sıra POLONIUM, ters proxy oluşturma, ekran görüntüsü alma, tuş günlüğü ve web kamerası yakalama için özel veya kullanıma hazır çeşitli açık kaynak araçları da kullanır, bu nedenle işlemlerde bir yedeklilik düzeyi vardır.
Zor bir hack grubu
ESET, POLONIUM’un başlangıçta bir ağı tehlikeye atmak için kullandığı taktikleri keşfedemedi, ancak Microsoft daha önce grubun ağları ihlal etmek için bilinen VPN ürün kusurlarını kullandığını bildirmişti.
Tehdit aktörünün özel ağ altyapısı, sanal özel sunucuların (VPS) ve güvenliği ihlal edilmiş meşru web sitelerinin arkasına gizlenmiştir, bu nedenle grubun faaliyetlerinin haritalandırılması bulanık kalır.
POLONIUM, hedefi şu anda İsrail’de olan, sofistike ve yüksek oranda hedeflenmiş bir tehdittir, ancak öncelikler veya çıkarlar değişirse bu her an değişebilir.