ESET Research, APT kümesi POLONIUM’un İsrail’i amaç alan siber akınlarını tahlil etti
Siber güvenlik şirketi ESET, POLONIUM APT kümesi tarafınca İsrail’de dağıtılan, daha evvel belgelenmemiş özel art kapıları ve siber casusluk araçlarını tahlil etti. ESET telemetrisine nazaran POLONIUM, Eylül 2021’den bu yana İsrail’de bir düziniçin fazla kuruluşu gaye aldı. Kümenin en son aksiyonları Eylül 2022’de gözlemlendi.
ESET araştırmacılarının ortaya koyduğu bilgilere bakılırsa sadece İsrail’deki gayelere odaklanan POLONIUM, mühendislik, bilgi teknolojisi, hukuk, irtibat, markalaşma ve pazarlama, medya, sigorta ve toplumsal hizmetler üzere çeşitli dallardaki bir düziniçin fazla kuruluşa saldırdı. Microsoft, POLONIUM’u İran İstihbarat ve Güvenlik Bakanlığı’na bağlı başka aktörlerle koordine etkinlikler yürüten, Lübnan merkezli operasyonel bir küme olarak pahalandırıyor.
ESET telemetrisine nazaran küme, Eylül 2021’den bu yana en az yedi farklı özel art kapı kullandı ve en son hareketleri Eylül 2022’de gözlemlendi. ESET, daha evvel belgelenmemiş beş art kapıyı “-Creep” son ekiyle isimlendirdi. Küme, ekran manzarası almak, tuş vuruşlarını kaydetmek, web kamerası aracılığıyla casusluk yapmak, evrakları sızdırmak ve daha fazlası için özel araçlar geliştirdi. POLONIUM, komuta ve denetim bağlantısı için Dropbox, OneDrive ve Mega üzere yaygın bulut hizmetlerini berbata kullanıyor.
ESET Research’e göre POLONIUM, fazlaca sayıda makûs emelli yazılım aracı cephanesine sahip etkin bir tehdit aktörü ve bu araçları daima olarak değiştiriyor. Yeni araçlar geliştiriyor. Küme araçlarının ortak bir özelliği, Dropbox, Mega ve OneDrive üzere bulut hizmetlerinin komuta ve denetim (C&C) irtibatları için berbata kullanılması. Kümenin hücumları yüksek oranda gayeye yönelik olduğundan POLONIUM hakkında istihbarat ve kamuoyu raporları fazlaca az ve hudutlu.
Kötü hedefli yazılımı tahlil eden ESET araştırmacısı Matías Porolli şu açıklamalarda bulundu: “POLONIUM’un özel araçlarına eklediği sayısız sürüm ve değişiklik, kümenin amaçlarını gözetlemek açısından daima ve uzun vadeli bir uğraş gerektiriyor. ESET, araç setlerini göz önünde bulundurduğunda kümenin maksatlarından bilinmeyen bilgi toplamakla ilgilendiği manasını çıkarabilir. Küme, rastgele bir sabotaj yahut fidye yazılımı aksiyonu gerçekleştirmiyor üzere görünüyor.”
POLONIUM’un araç seti yedi özel art kapıdan oluşuyor: C&C için OneDrive ve Dropbox bulut hizmetlerini berbata kullanan CreepyDrive; saldırganların kendi altyapısından aldığı komutları yürüten CreepySnail; sırasıyla Dropbox ve Mega evrak depolama hizmetlerinden yararlanan DeepCreep ve MegaCreep; saldırganların sunucularından komutlar alan FlipCreep, TechnoCreep ve PapaCreep. Küme ayrıyeten ekran imajları alarak, tuş vuruşlarını kaydederek, web kamerası aracılığıyla casusluk yaparak, evrakları sızdırarak ve daha fazlasını yaparak gayelerini gözetlemek için birkaç özel modül geliştirdi.
Porolli bu durumu şu biçimde açıklıyor: “Grubun berbat gayeli modüllerinin birden fazla, hudutlu fonksiyonelliğe sahip ve küçük. Bir olayda, saldırganlar ekran imajı almak için bir modül ve bu imgeleri C&C sunucusuna yüklemek için öteki bir modül kullandı. Ayrıyeten misal biçimde, berbat hedefli fonksiyonları çeşitli küçük DLL’lere dağıtarak ve sistemi savunanların yahut araştırmacıların tüm atak zincirini gözlemlemeyeceğini umarak, kodu art kapılarında bölmeyi seviyorlar.”
Kaynak: (BYZHA) – Beyaz Haber Ajansı
Siber güvenlik şirketi ESET, POLONIUM APT kümesi tarafınca İsrail’de dağıtılan, daha evvel belgelenmemiş özel art kapıları ve siber casusluk araçlarını tahlil etti. ESET telemetrisine nazaran POLONIUM, Eylül 2021’den bu yana İsrail’de bir düziniçin fazla kuruluşu gaye aldı. Kümenin en son aksiyonları Eylül 2022’de gözlemlendi.
ESET araştırmacılarının ortaya koyduğu bilgilere bakılırsa sadece İsrail’deki gayelere odaklanan POLONIUM, mühendislik, bilgi teknolojisi, hukuk, irtibat, markalaşma ve pazarlama, medya, sigorta ve toplumsal hizmetler üzere çeşitli dallardaki bir düziniçin fazla kuruluşa saldırdı. Microsoft, POLONIUM’u İran İstihbarat ve Güvenlik Bakanlığı’na bağlı başka aktörlerle koordine etkinlikler yürüten, Lübnan merkezli operasyonel bir küme olarak pahalandırıyor.
ESET telemetrisine nazaran küme, Eylül 2021’den bu yana en az yedi farklı özel art kapı kullandı ve en son hareketleri Eylül 2022’de gözlemlendi. ESET, daha evvel belgelenmemiş beş art kapıyı “-Creep” son ekiyle isimlendirdi. Küme, ekran manzarası almak, tuş vuruşlarını kaydetmek, web kamerası aracılığıyla casusluk yapmak, evrakları sızdırmak ve daha fazlası için özel araçlar geliştirdi. POLONIUM, komuta ve denetim bağlantısı için Dropbox, OneDrive ve Mega üzere yaygın bulut hizmetlerini berbata kullanıyor.
ESET Research’e göre POLONIUM, fazlaca sayıda makûs emelli yazılım aracı cephanesine sahip etkin bir tehdit aktörü ve bu araçları daima olarak değiştiriyor. Yeni araçlar geliştiriyor. Küme araçlarının ortak bir özelliği, Dropbox, Mega ve OneDrive üzere bulut hizmetlerinin komuta ve denetim (C&C) irtibatları için berbata kullanılması. Kümenin hücumları yüksek oranda gayeye yönelik olduğundan POLONIUM hakkında istihbarat ve kamuoyu raporları fazlaca az ve hudutlu.
Kötü hedefli yazılımı tahlil eden ESET araştırmacısı Matías Porolli şu açıklamalarda bulundu: “POLONIUM’un özel araçlarına eklediği sayısız sürüm ve değişiklik, kümenin amaçlarını gözetlemek açısından daima ve uzun vadeli bir uğraş gerektiriyor. ESET, araç setlerini göz önünde bulundurduğunda kümenin maksatlarından bilinmeyen bilgi toplamakla ilgilendiği manasını çıkarabilir. Küme, rastgele bir sabotaj yahut fidye yazılımı aksiyonu gerçekleştirmiyor üzere görünüyor.”
POLONIUM’un araç seti yedi özel art kapıdan oluşuyor: C&C için OneDrive ve Dropbox bulut hizmetlerini berbata kullanan CreepyDrive; saldırganların kendi altyapısından aldığı komutları yürüten CreepySnail; sırasıyla Dropbox ve Mega evrak depolama hizmetlerinden yararlanan DeepCreep ve MegaCreep; saldırganların sunucularından komutlar alan FlipCreep, TechnoCreep ve PapaCreep. Küme ayrıyeten ekran imajları alarak, tuş vuruşlarını kaydederek, web kamerası aracılığıyla casusluk yaparak, evrakları sızdırarak ve daha fazlasını yaparak gayelerini gözetlemek için birkaç özel modül geliştirdi.
Porolli bu durumu şu biçimde açıklıyor: “Grubun berbat gayeli modüllerinin birden fazla, hudutlu fonksiyonelliğe sahip ve küçük. Bir olayda, saldırganlar ekran imajı almak için bir modül ve bu imgeleri C&C sunucusuna yüklemek için öteki bir modül kullandı. Ayrıyeten misal biçimde, berbat hedefli fonksiyonları çeşitli küçük DLL’lere dağıtarak ve sistemi savunanların yahut araştırmacıların tüm atak zincirini gözlemlemeyeceğini umarak, kodu art kapılarında bölmeyi seviyorlar.”
Kaynak: (BYZHA) – Beyaz Haber Ajansı