Исследователи безопасности ESET обнаружили ранее неизвестное вредоносное ПО , используемое кибершпионской группировкой POLONIUM , которая атакует исключительно израильские организации. По данным ESET, POLONIUM нацелена на инженерные, IT-, юридические, коммуникационные, маркетинговые и страховые компании в Израиле. ESET сообщает, что POLONIUM занимается исключительно кибершпионажем и не развертывает вайперы и программы-вымогатели. С сентября 2021 года хакеры использовали как минимум 7 вариантов бэкдоров, в том числе 4 новых недокументированных бэкдора «TechnoCreep», «FlipCreep», «MegaCreep» и «PapaCreep». Некоторые бэкдоры используют облачные сервисы OneDrive, Dropbox и Mega в качестве серверов управления и контроля (C&C). Другие бэкдоры используют стандартные TCP-соединения с удаленными C&C-серверами или получают команды для выполнения из файлов, размещенных на FTP-серверах.
Функции бэкдоров различаются, однако, они позволяют:
регистрировать нажатия клавиш;
делать снимки экрана рабочего стола;
делать фотографии с помощью веб-камеры;
эксфильтровать файлы с хоста;
устанавливать дополнительные вредоносные программы;
выполнять команды на зараженном устройстве.
Бэкдор PapaCreep также является модульным, разбивая выполнение команд, связь с C&C и загрузку файлов на небольшие компоненты. Преимущество заключается в том, что компоненты могут работать независимо, сохраняться через отдельные запланированные задачи во взломанной системе и затруднять обнаружение бэкдора. POLONIUM также использует различные инструменты с открытым исходным кодом для создания обратного прокси, скриншотов, кейлоггинга и подключения веб-камеры. ESET не удалось точно определить тактику POLONIUM, но Microsoft ранее сообщала, что группа использовала известные уязвимости VPN-продукта для взлома сетей. Инфраструктура частной сети злоумышленника скрыта за VPS-серверами и скомпрометированными веб-сайтами, поэтому картирование деятельности группы остается неясным.