นักวิจัยพบ Backdoors และเครื่องมือสอดแนมที่ถูกสร้างขึ้นเองโดย Polonium Hackers
กลุ่มผู้คุกคามที่ชื่อว่า Polonium ซึ่งเชื่อมโยงกับการโจมตีที่มีเป้าหมายระดับสูงจำนวนมาก โดยมุ่งเป้าไปที่หน่วยงานของประเทศอิสราเอล และพบว่ามีการใช้ Backdoors ที่ถูกสร้างขึ้นเองกว่า 7 รูปแบบที่แตกต่างกันตั้งแต่เดือนกันยายน 2564
บริษัทรักษาความปลอดภัยเครือข่าย ESET ระบุว่าการโจมตีเหล่านี้มุ่งเป้าไปยังองค์กรในลักษณะต่างๆ เช่น วิศวกรรม เทคโนโลยีสารสนเทศ กฎหมาย การสื่อสาร การสร้างแบรนด์ และการตลาด สื่อ การประกันภัย และบริการทางสังคม
โดย Polonium เป็นชื่อที่เกี่ยวกับองค์ประกอบทางเคมีที่ Microsoft เป็นคนตั้งให้กับกลุ่มดัวบก่าว ซึ่งคาดว่ามีฐานปฏิบัติการอยู่ในเลบานอน และมีเป้าหมายเป็นองค์กรในอิสราเอลโดยเฉพาะ
พฤติกรรมของกลุ่มนี้เกิดขึ้นครั้งแรกเมื่อต้นเดือนมิถุนายน เมื่อ Microsoft ระบุว่าได้ระงับบัญชี OneDrive ที่เป็นอันตรายมากกว่า 20 บัญชีที่ถูกสร้างโดยผู้โจมตี เพื่อวัตถุประสงค์ในการทำเป็น command-and-control (C2)
หัวใจสำคัญของการโจมตีคือการติดตั้ง CreepyDrive และ CreepyBox เพื่อใช้ในการขโมยข้อมูลที่มีความสำคัญออกไปยังบัญชี OneDrive และ Dropbox ที่ถูกควบคุมโดยผู้โจมตี และยังพบว่ามีการใช้ backdoor PowerShell ที่มีชื่อว่า CreepySnail
การค้นพบล่าสุดของ ESET เกี่ยวกับ backdoor ที่ไม่เคยถูกพบก่อนหน้านี้อีก 5 รายการ ทำให้กลุ่มดังกล่าวน่าสนใจมากขึ้น เนื่องจากมีการพัฒนาปรับแต่ง และปรับปรุงมัลแวร์อย่างต่อเนื่อง
เวอร์ชัน และการเปลี่ยนแปลงมากมายที่ Polonium นํามาใช้ แสดงให้เห็นถึงความพยายามในการสอดแนมเป้าหมายของกลุ่ม" Matías Porolli นักวิจัยของ ESET ระบุ "แต่ดูเหมือนว่ากลุ่มดังกล่าวจะไม่มีการดำเนินการในลักษณะของแรนซัมแวร์"
รายการ hacking tools มีดังนี้
CreepyDrive/CreepyBox - backdoor PowerShell อ่าน และรันคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ใน OneDrive หรือ Dropbox
CreepySnail - backdoor PowerShell ที่ได้รับคำสั่งจากเซิร์ฟเวอร์ C2 ของผู้โจมตี
DeepCreep - backdoor C# อ่านคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ในบัญชี Dropbox และใช้ขโมยข้อมูลออกไป
MegaCreep - backdoor C# อ่านคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ในบริการจัดเก็บข้อมูลบนคลาวด์ขนาดใหญ่
FlipCreep - backdoor C# อ่านคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ในเซิร์ฟเวอร์ FTP และใช้ขโมยข้อมูลออกไป
TechnoCreep - backdoor C# ที่ใช้ติดต่อกับเซิร์ฟเวอร์ C2 ผ่าน TCP เพื่อรันคำสั่ง และใช้ขโมยข้อมูลออกไป
PapaCreep - backdoor C ++ ที่สามารถรับ และรันคำสั่งจากเซิร์ฟเวอร์ภายนอกผ่าน TCP
PapaCreep ถูกค้นพบเมื่อเดือนกันยายน 2565 เป็นมัลแวร์ที่มีส่วนประกอบ 4 ส่วนที่แตกต่างกันสำหรับการเรียกใช้คำสั่ง และส่งคำสั่ง output รวมทั้งอัปโหลด และดาวน์โหลดไฟล์
นักวิจัยของ ESET ระบุว่า ได้ค้นพบโมดูลอื่น ๆ เช่นการบันทึกการกดแป้นพิมพ์ จับภาพหน้าจอ ถ่ายภาพผ่านเว็บแคม และ reverse shell
แม้จะมีมัลแวร์จำนวนมากที่ใช้ในการโจมตี แต่ช่องทางที่ใช้ในการเข้าถึงในขั้นตอนแรกยังไม่เป็นที่ทราบแน่ชัด แม้จะมีข้อสงสัยว่าอาจเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ของ VPN
"โมดูลที่เป็นอันตรายส่วนใหญ่มีขนาดเล็ก มีฟังก์ชันการทำงานที่จำกัด ผู้โจมตีจะแบ่งโค้ด backdoor โดยแบ่งฟังก์ชันการทำงานที่เป็นอันตรายไปยัง DLLs ที่มีขนาดเล็ก โดยคาดหวังว่าการป้องกัน หรือนักวิจัยจะไม่สังเกตเห็นการโจมตีได้ทั้งหมด"
ที่มา : thehackernews.