APT Polonium affiliato all’Iran colpisce tramite i servizi cloud più diffusi

Uno sguardo da vicino a Polonium, un gruppo APT affilitato al Governo iraniano che per ora colpisce bersagli israeliani.

Vulnerabilità

Si chiama Polonium il gruppo APT affiliato all’Iran che sta seminando attacchi contro il Libano. La prima a documentarne l’attività è stata Microsoft a giungo 2022, le attività vanno avanti almeno da settembre 2021. Nel tempo Polonium ha colpito vari settori verticali, spaziando fra ingegneria, informatica, giustizia, comunicazioni, branding e marketing, media, assicurazioni e servizi sociali.

Secondo i ricercatori di ESET Research, Polonium ha sede in Libano e coordina le proprie attività con altri soggetti affiliati al Ministero dell'Intelligence e della Sicurezza iraniano. È un player di minacce molto attivo che dispone di un vasto arsenale di tool malware che vengono costantemente aggiornati e sviluppati.


Sulle tracce di Polonium ci sono i ricercatori ESET, che hanno analizzato le backdoor personalizzate e i tool di cyberspionaggio utilizzati da questo attore e finora mai esplorati. In tutto sono cinque le backdoor analizzate, tutte contraddistinte dal suffisso “-Creep”, ma il set di strumenti di Polonium ne conta ben sette. CreepyDrive sfrutta i servizi cloud OneDrive e Dropbox per il C&C, CreepySnail esegue i comandi ricevuti dall'infrastruttura degli attaccanti. DeepCreep e MegaCreep utilizzano rispettivamente i servizi di archiviazione file Dropbox e Mega, mentre FlipCreep, TechnoCreep e PapaCreep ricevono i comandi dai server degli attaccanti.

Il gruppo ha anche sviluppato diversi moduli personalizzati per spiare i propri bersagli, scattando screenshot, registrando sequenze di tasti, spiando la webcam, aprendo shell inverse, esfiltrando file e altro ancora. Una caratteristica comune a diversi tool è lo sfruttamento di servizi cloud come Dropbox, Mega e OneDrive per le attività di command and control (C&C). Le informazioni e i report ufficiali su Polonium sono scarsi e scarni, probabilmente perché gli attacchi del gruppo sono altamente mirati e il vettore di compromissione iniziale non è noto.

Sul blog ufficiale di ESET sono pubblicati stralci di codice usato negli attacchi, i dettagli tecnici delle attività studiate e gli Indicatori di Compromissione.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale Mobile e IoT

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Calendario Tutto

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter