研究人员发现了Polonium黑客使用的自定义后门和间谍工具

一个被追踪为Polonium的威胁行为体，至少自2021年9月以来，已经与针对伊斯拉埃良实体的十多起高度针对性的攻击联系在一起。

网络安全公司ESET说，这些入侵针对各种垂直的组织，如工程、信息技术、法律、通信、品牌和营销、媒体、保险和社会服务等。

Polonium是微软公司给一个据信总部设在黎巴嫩、专门打击以色列目标的复杂行动小组提供的以化学元素为主题的名字。

今年6月早些时候，该集团开展的活动首次曝光，当时Windows制造商披露，它暂停了20多个恶意的OneDrive账户，这些账户是由对手为命令和控制( C2 )目的创建的。

这些攻击的核心是使用植入CreepyDrive和CreepyBox的植入物，因为它们有能力将敏感数据泄露给由演员控制的OneDrive和Dropbox帐户。还部署了一个名为CreepySnail的PowerShell后门。

 ESET最新发现的5个以前没有证件的后门，使一个积极的间谍威胁行为体成为关注的焦点，它不断地完善和重组其恶意软件武库。

ESET研究员马蒂亚斯·波罗利( Matías Porolli )说，”钋化物在定制工具中引入的众多版本和变化显示了对该团体目标的持续和长期的监视。该团体似乎没有参与任何破坏或勒索行为。

定制的黑客工具列表如下：

 CreepyDrive / CreepyBox —— 从存储在OneDrive或Dropbox上的文本文件读取和执行命令的PowerShell后门。

 CreepySnail —— 接收来自攻击者自己的C2服务器命令的PowerShell后门

  DeepCreep —— 从存储在Dropbox帐户中的文本文件中读取命令并渗出数据的C #后门

  MegaCreep —— 一个从存储在Mega云存储服务中的文本文件中读取命令的C #后门

  FlipCreep —— 一个C #后门，它从存储在FTP服务器中的文本文件中读取命令并渗出数据

PapaCreep —— 一个C + +后门，可以通过TCP套接字接收并执行来自远程服务器的命令

  PapaCreep最早于2022年9月被发现，是一种模块化的恶意软件，包含4个不同的组件，分别用于运行命令、接收和发送命令及其输出以及上传和下载文件。

斯洛伐克网络安全公司表示，它还发现了其他几个模块，负责记录击键、捕获截图、通过网络摄像头拍照和在受损机器上建立反向外壳。

尽管在攻击中使用了大量的恶意软件，但用于破坏网络的初始访问向量目前尚不清楚，怀疑它可能涉及利用VPN缺陷。

 Porolli说，该集团的大多数恶意模块都很小，功能有限。他们喜欢将后门中的代码进行分割，将恶意功能分发到各种小的DLL中，也许期望防御者或研究人员不会观察到完整的攻击链。