Siber güvenlik şirketi ESET, POLONIUM APT grubu tarafından İsrail'de dağıtılan, daha önce belgelenmemiş özel arka kapıları ve siber casusluk araçlarını analiz etti. ESET telemetrisine göre POLONIUM, Eylül 2021'den bu yana İsrail'de bir düzineden fazla kuruluşu hedef aldı. Grubun en son eylemleri Eylül 2022'de gözlemlendi.

ESET araştırmacılarının ortaya koyduğu verilere göre yalnızca İsrail’deki hedeflere odaklanan POLONIUM, mühendislik, bilgi teknolojisi, hukuk, iletişim, markalaşma ve pazarlama, medya, sigorta ve sosyal hizmetler gibi çeşitli sektörlerdeki bir düzineden fazla kuruluşa saldırdı. Microsoft, POLONIUM'u İran İstihbarat ve Güvenlik Bakanlığı'na bağlı diğer aktörlerle koordine etkinlikler yürüten, Lübnan merkezli operasyonel bir grup olarak değerlendiriyor. 

ESET telemetrisine göre grup, Eylül 2021'den bu yana en az yedi farklı özel arka kapı kullandı ve en son eylemleri Eylül 2022'de gözlemlendi. ESET, daha önce belgelenmemiş beş arka kapıyı “-Creep” son ekiyle adlandırdı. Grup, ekran görüntüsü almak, tuş vuruşlarını kaydetmek, web kamerası aracılığıyla casusluk yapmak, dosyaları sızdırmak ve daha fazlası için özel araçlar geliştirdi. POLONIUM, komuta ve kontrol iletişimi için Dropbox, OneDrive ve Mega gibi yaygın bulut hizmetlerini kötüye kullanıyor.

ESET Research'e göre POLONIUM, çok sayıda kötü amaçlı yazılım aracı cephanesine sahip aktif bir tehdit aktörü ve bu araçları sürekli olarak değiştiriyor. Yeni araçlar geliştiriyor. Grup araçlarının ortak bir özelliği, Dropbox, Mega ve OneDrive gibi bulut hizmetlerinin komuta ve kontrol (C&C) iletişimleri için kötüye kullanılması. Grubun saldırıları yüksek oranda hedefe yönelik olduğundan POLONIUM hakkında istihbarat ve kamuoyu raporları çok az ve sınırlı.

Kötü amaçlı yazılımı analiz eden ESET araştırmacısı Matías Porolli şu açıklamalarda bulundu: “POLONIUM'un özel araçlarına eklediği sayısız sürüm ve değişiklik, grubun hedeflerini gözetlemek açısından sürekli ve uzun vadeli bir çaba gerektiriyor. ESET, araç setlerini göz önünde bulundurduğunda grubun hedeflerinden gizli veri toplamakla ilgilendiği anlamını çıkarabilir. Grup, herhangi bir sabotaj veya fidye yazılımı eylemi gerçekleştirmiyor gibi görünüyor.”

POLONIUM'un araç seti yedi özel arka kapıdan oluşuyor: C&C için OneDrive ve Dropbox bulut hizmetlerini kötüye kullanan CreepyDrive; saldırganların kendi altyapısından aldığı komutları yürüten CreepySnail; sırasıyla Dropbox ve Mega dosya depolama hizmetlerinden yararlanan DeepCreep ve MegaCreep; saldırganların sunucularından komutlar alan FlipCreep, TechnoCreep ve PapaCreep. Grup ayrıca ekran görüntüleri alarak, tuş vuruşlarını kaydederek, web kamerası aracılığıyla casusluk yaparak, dosyaları sızdırarak ve daha fazlasını yaparak hedeflerini gözetlemek için birkaç özel modül geliştirdi.

Porolli bu durumu şöyle açıklıyor: “Grubun kötü amaçlı modüllerinin çoğu, sınırlı işlevselliğe sahip ve küçük. Bir vakada, saldırganlar ekran görüntüsü almak için bir modül ve bu görüntüleri C&Cosunucusuna yüklemek için başka bir modül kullandı. Ayrıca benzer şekilde, kötü amaçlı işlevleri çeşitli küçük DLL'lere dağıtarak ve sistemi savunanların veya araştırmacıların tüm saldırı zincirini gözlemlemeyeceğini umarak, kodu arka kapılarında bölmeyi seviyorlar."