logo

Špionážní malware zneužívá populární cloudové služby

Odhalené škodlivé kódy využívá ve svých operacích ATP skupina POLONIUM, které vyvinula vlastní špionážní nástroje. Pro komunikaci s řídícími servery zneužívá běžné cloudové služby, jako jsou Dropbox, OneDrive či Mega. Dosud neznámý malware útočí izraelské organizace.

Podle posledních zjištění bezpečnostních analytiků ze společnosti ESET se ATP (Advanced Persistent Threat - označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže) skupina POLONIUM, která sídlí v Libanonu, zaměřila výlučně na izraelské cíle. Mezi odvětví, na která se tato skupina zaměřuje, patří strojírenství, IT, právo, komunikace, branding a marketing, média, pojišťovnictví a sociální služby.

APT skupinu POLONIUM poprvé zdokumentovala společnost Microsoft v červnu 2022. Podle ní má tato skupina sídlo v Libanonu a koordinuje své aktivity s dalšími subjekty napojenými na íránské ministerstvo zpravodajských služeb a bezpečnosti.

I přestože mohou být do kyberšpionáže zapojeny také organizace či instituce z jiných států po celém světě včetně České republiky, podle posledních informací je útok geograficky lokalizován pouze na Blízkém východě.

Podle telemetrie společnosti ESET se APT skupina POLONIUM zaměřila na více než desítku izraelských organizací, a to minimálně už od září 2021. Poslední akce skupiny byly přitom zaznamenány v září 2022.

"Podle informací, které jsou k aktivitě skupiny POLONIUM z posledního výzkumu ESET dostupné, skupina operuje pouze v rámci Blízkého východu. Česká republika tak aktuálně není mezi cíli, na které se skupina POLONIUM zaměřuje. Kyberšpionážní aktivita ale samozřejmě nerespektuje hranice jednotlivých států a prakticky u každé země může existovat možnost, že nějaký subjekt na jejím území může s cílem útoku spolupracovat a stát se díky tomuto propojení také obětí. Nic takového ale v tuto chvíli v České republice nepozorujeme,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.

Útoky umožňují známá cloudová uložiště

ATP skupina POLONIUM je velmi aktivním aktérem, který disponuje rozsáhlým arzenálem malwarových nástrojů, neustále je modifikuje a vyvíjí nové. Společným znakem v použití těchto nástrojů je zneužívání cloudových služeb, jako jsou Dropbox, Mega a OneDrive, ke kontrolní a řídící komunikaci typu C&C (command and control).

Četné verze a změny, které skupina POLONIUM zavedla do svých vlastních nástrojů, vypovídají o nepřetržité a dlouhodobé snaze o špionáž. Podle využívaných nástrojů můžeme usuzovat, že má zájem o sběr důvěrných dat svých obětí. Nezdá se však, že by se skupina zapojovala do sabotážních nebo ransomwarových akcí.

Zpravodajské informace a veřejné zprávy o skupině POLONIUM jsou velmi kusé a omezené, pravděpodobně proto, že útoky skupiny jsou vysoce sofistikované a není znám počáteční vektor kompromitace.

Skupina využívá strašidelná zadní vrátka

Sada nástrojů skupiny POLONIUM se skládá ze sedmi vlastních backdoorů neboli zadních vrátek.

Složení sady nástrojů skupiny POLONIUM:

Skupina POLONIUM také vyvinula několik vlastních modulů, které umožňují špehovat cíle pořizováním snímků obrazovky, zaznamenáváním stisků kláves, špehováním prostřednictvím webové kamery, otevíráním reverzních shellů, exfiltrací souborů a dalšími způsoby.

Většinou jsou škodlivé moduly použité skupinou POLONIUM malé a s omezenou funkčností. V jednom případě útočníci použili jeden modul pro pořizování snímků obrazovky a druhý pro jejich odesílání na C&C server. Podobně útočníci rozdělují funkcionalitu také ve svých škodlivých kódech a rozdělují škodlivé akce do různých malých DLL knihoven.

Za tímto chováním může být domněnka útočníků, že bezpečnostní analytici a specialisté chránící cílovou organizaci nebudou schopni pozorovat celý řetězec útoku a poskládat tak celý vektor útoku z jednotlivých dílčích kroků.

Článek ze dne 18. října 2022 - úterý

Další články od ESET software spol. s r. o.

Špionážní kampaň APT skupiny StrongPity cílí na uživatele platformy Android

Pozor na podvodný spam v chatovací aplikaci Messenger

Phishing v Česku jako nový typ stálé hrozby

Shrnutí vývoje kybernetických hrozeb v roce 2022

Ukrajina je stále hlavním cílem APT skupin napojených na Rusko

Vnímání kybernetických hrozeb u malých a středních firem

ESET Threat Report T2 2022 mapuje globální vývoj kybernetických hrozeb

Češi často sdílí přihlašovací údaje pro více služeb

Lepší ochrana před ransomwarem a zabezpečení online plateb pro domácí uživatele

Špionážní malware zneužívá populární cloudové služby

Jiří Bracek v čele českého týmu pro výzkum a vývoj ESET Research

ESET slaví 30 let nepřetržitých inovací v oblasti IT bezpečnosti

Bezpečnostní produkty ESET za zvýhodněnou cenu

Nový malware typu backdoor pro platformu macOS

Globální finanční výsledky ESET za rok 2021

Vývoj kybernetických hrozeb v souvislosti s válkou na Ukrajině

Nové produkty kybernetické bezpečnosti pro ISP a Telco operátory

Globální útok ATP skupiny Lazarus na letecké a obranné společnosti

Globální iniciativa ESET Heroes of Progress hledá hrdiny pokroku a vizionáře

Pozor na inzertní podvody na internetových bazarech

Tým z ESET Research na kybernetickém cvičení NATO

Platforma ESET PROTECT pomáhá se správou kybernetické bezpečnosti firmy

Ransomware WannaCry stále představuje riziko pro kritickou infrastrukturu

Nové investice do technologické divize ESET Research v České republice

Aktualizace produktů platformy ESET PROTECT pro firemní zákazníky

Kybernetický útok na energetickou infrastrukturu Ukrajiny

ESET produkty pro domácí uživatele s Windows chrání zařízení s ARM procesory

Destruktivní malware CaddyWiper cílí na finanční instituce Ukrajiny

Integrace Intel technologií detekce ransomwaru do ESET produktů

Ukončení prodeje ESET produktů v Rusku a Bělorusku

Stav kybernetických hrozeb na Ukrajině

Malware HermeticWiper použitý na Ukrajině cílí na uživatelská data a firemní sítě

Informace k aktuálním útokům na servery MS Exchange

ESET úspěšně rozvíjí svůj MSP distribuční kanál

Skupina kyberzločinců ALPHV ochromila kritickou infrastrukturu v Německu

Analýza ranitelnosti ovladačů jádra Windows

Predikce kybernetických hrozeb v roce 2022 v Česku

Rok 2021 byl ve znamení kybernetických útoků na uživatelská hesla a přihlašovací údaje

Zranitelnost knihovny Log4j

Vývoj globálních kybernetických hrozeb

Útočné kampaně s technikou Watering hole cílí na zpravodajské weby evropských médií

Ochrana před ransomware v reálném čase

SMS phishing cílí na české uživatele iPhone

Velkou roli hrají v komunikaci mezi studenty sociální sítě

Bootkit ESPecter upravuje modul Windows Boot Manager

Pravděpodobná kyberšpionáž nově odhalené skupiny FamousSparrow

Kybertest si vyzkoušelo 100 tisíc Čechů

Digitální marketing ESETu vede Michaela Kadlečková

IIS malware

Rizikem pro počítače s macOS je aktuálně zejména adware