POLONIUM Grup Peretas Spionase
Peneliti keamanan mengungkapkan malware yang sebelumnya tidak dikenal yang digunakan oleh POLONIUM grup peretas spionase dunia maya , aktor ancaman yang tampaknya menargetkan negara tertentu secara eksklusif.
Penelitian ESET, POLONIUM menggunakan berbagai malware khusus terhadap perusahaan teknik, TI, hukum, komunikasi, pemasaran, dan asuransi. Dan masih aktif pada saat ini.
Tim Intelijen Ancaman Microsoft pertama kali mendokumentasikan aktivitas jahat kelompok tersebut pada Juni 2022.
|
Baca juga: FamaousSparrow Kelompok Spionase Baru Pembuat Onar |
Perangkat POLONIUM
Dari riset ESET diketahui bahwa POLONIUM hanya tertarik pada spionase siber dan tidak menyebarkan wiper, ransomware, atau perusak file lainnya.
Sejak September 2021, para peretas telah menggunakan setidaknya tujuh varian backdoor khusus, termasuk empat backdoor baru yang dikenal sebagai:
-
TechnoCreep
-
FlipCreep
-
MegaCreep
-
PapaCreep
Beberapa backdoor menyalahgunakan layanan cloud yang sah, seperti OneDrive, Dropbox, dan Mega, untuk bertindak sebagai server perintah dan kontrol (C2). Backdoor lain menggunakan koneksi TCP standar ke server C2 jarak jauh atau mendapatkan perintah untuk dieksekusi dari file yang dihosting di server FTP.
Meskipun tidak semua pintu belakang memiliki fitur yang sama, aktivitas jahatnya mencakup kemampuan untuk mencatat penekanan tombol, mengambil tangkapan layar desktop, mengambil foto dengan webcam, mengekstrak file dari host, menginstal malware tambahan, dan menjalankan perintah pada perangkat yang terinfeksi.
Backdoor terbaru, PapaCreep, terlihat pada September 2022, adalah yang pertama di C++, sedangkan para peretas menulis versi yang lebih lama baik di PowerShell atau C#.
PapaCreep juga modular, memecah eksekusi perintahnya, komunikasi C2, unggah file, dan fungsi unduh file menjadi komponen-komponen kecil.
Keuntungannya adalah komponen dapat berjalan secara independen, bertahan melalui tugas terjadwal terpisah dalam sistem yang dilanggar, dan membuat pintu belakang lebih sulit dideteksi.
Selain varian ‘Menyeramkan’, POLONIUM juga menggunakan berbagai alat open source, baik custom atau off-the-shelf, untuk reverse proxy, pengambilan screenshot, keylogging, dan gertakan webcam, sehingga ada tingkat redundansi dalam operasi.
|
Baca juga: Gelsemium Otak di Balik Spionase Dunia Maya |
Karakteristik POLONIUM
POLONIUM adalah grup aktif yang terus-menerus memperkenalkan modifikasi alat kustomnya. ESET telah melihat lebih dari 10 modul berbahaya yang berbeda sejak mulai melacak grup.
Kebanyakan dari mereka dengan berbagai versi atau dengan perubahan kecil untuk versi tertentu. Beberapa karakteristik dari perangkat POLONIUM adalah:
Tool berlimpah: Ada tujuh backdoor khusus berbeda yang digunakan oleh grup sejak September 2021, dan juga melihat banyak modul berbahaya lainnya, seperti untuk:
-
Mencatat penekanan tombol.
-
Mengambil tangkapan layar.
-
Menjalankan perintah.
-
Mengambil foto dengan webcam.
-
Mengekstrak file.
Alat khusus: Dalam berbagai serangan yang dilakukan oleh grup ini periode waktu tertentu, ESET mendeteksi pengunaan komponen yang sama yang berisi perubahan kecil.
Dalam beberapa kasus lain, terlihat sebuah modul, dikodekan dari awal, yang mengikuti logika yang sama seperti beberapa komponen sebelumnya.
Hanya dalam beberapa kasus ESET melihat mereka menggunakan alat atau kode yang tersedia untuk umum. Semua ini menunjukkan kepada kita bahwa POLONIUM membangun dan memelihara alatnya sendiri.
Layanan cloud: Grup menyalahgunakan layanan cloud umum seperti Dropbox, OneDrive, dan Mega untuk komunikasi C&C (menerima perintah dan mengekstrak data).
Komponen kecil: Sebagian besar modul jahat grup berukuran kecil, dengan fungsionalitas terbatas. Dalam satu kasus, pelaku menggunakan satu modul untuk mengambil tangkapan layar dan modul lainnya untuk mengunggahnya ke server C&C.
Pada catatan yang sama, mereka suka membagi kode di pintu belakang mereka, mendistribusikan fungsionalitas berbahaya ke berbagai DLL kecil, mungkin mengharapkan itu.
|
Baca juga: Welcome Chat Aplikasi Selamat Datang untuk Malware Spionase |
Grup Peretas Berbahaya
ESET tidak dapat menemukan taktik atau metode apa yang digunakan POLONIUM untuk mengkompromikan jaringan.
Tetapi Microsoft sebelumnya melaporkan bahwa grup tersebut menggunakan kelemahan produk VPN yang diketahui untuk menembus jaringan.
Infrastruktur jaringan pribadi pelaku tersembunyi di balik Virtual Private Server (VPS) dan situs web resmi yang disusupi, sehingga pemetaan aktivitas grup tetap tidak jelas.
POLONIUM adalah ancaman canggih dan sangat ditargetkan yang bidiknya tertuju pada negara tertentu saat ini, tetapi ini dapat berubah setiap saat jika prioritas atau kepentingan berubah.
|
Baca lainnya: |
Sumber berita:
