POLONIUM menargetkan Israel dengan malware yang menyeramkan

Peneliti ESET mengungkapkan temuan mereka tentang POLONIUM, kelompok ancaman persisten tingkat lanjut (APT) yang sedikit informasinya tersedia untuk umum dan vektor kompromi awalnya tidak diketahui. POLONIUM adalah kelompok spionase dunia maya pertama kali didokumentasikan oleh Microsoft Threat Intelligence Center (MSTIC) pada Juni 2022. Penilaian MSTIC adalah bahwa POLONIUM adalah kelompok operasional yang berbasis di Lebanon, mengoordinasikan kegiatannya dengan aktor lain yang berafiliasi dengan Kementerian Intelijen dan Keamanan (MOIS) Iran.

Menurut telemetri ESET, POLONIUM telah menargetkan lebih dari selusin organisasi di Israel setidaknya sejak September 2021, dengan tindakan terbaru kelompok tersebut diamati pada September 2022. Vertikal yang ditargetkan oleh kelompok ini meliputi teknik, teknologi informasi, hukum, komunikasi, branding dan pemasaran, media, asuransi, dan layanan sosial. Temuan kami yang menjelaskan taktik kelompok ini, termasuk rincian tentang sejumlah pintu belakang yang sebelumnya tidak terdokumentasi, dipresentasikan pada akhir September di Buletin Virus 2022 konferensi.

Banyaknya versi dan perubahan POLONIUM yang diperkenalkan ke alat kustomnya menunjukkan upaya berkelanjutan dan jangka panjang untuk memata-matai target grup. Meskipun kami belum mengamati perintah apa yang dieksekusi oleh operator pada mesin yang disusupi, kami dapat menyimpulkan dari perangkat mereka bahwa mereka tertarik untuk mengumpulkan data rahasia dari target mereka. Kelompok tersebut tampaknya tidak terlibat dalam tindakan sabotase atau ransomware.

Seperti yang ditunjukkan pada Gambar 1, perangkat POLONIUM terdiri dari tujuh pintu belakang khusus: CreepyDrive, yang menyalahgunakan layanan cloud OneDrive dan Dropbox untuk C&C; CreepySnail, yang mengeksekusi perintah yang diterima dari infrastruktur penyerang sendiri; DeepCreep dan MegaCreep, yang masing-masing menggunakan layanan penyimpanan file Dropbox dan Mega; dan FlipCreep, TechnoCreep, dan PapaCreep, yang menerima perintah dari server penyerang. Grup ini juga menggunakan beberapa modul khusus untuk memata-matai targetnya.

Gambar 1. Garis waktu dari pintu belakang yang diamati yang digunakan oleh POLONIUM

Akses awal

Meskipun kami tidak tahu bagaimana kelompok tersebut mendapatkan akses awal ke sistem yang ditargetkan, beberapa korban Kredensial akun Fortinet VPN bocor pada bulan September 2021 dan tersedia secara online. Dengan demikian, ada kemungkinan penyerang memperoleh akses ke jaringan internal korban dengan menyalahgunakan kredensial VPN yang bocor tersebut.

Toolset

POLONIUM adalah grup aktif yang terus-menerus memperkenalkan modifikasi alat kustomnya. Kami telah melihat lebih dari 10 modul berbahaya yang berbeda sejak kami mulai melacak grup, kebanyakan dari mereka dengan berbagai versi atau dengan perubahan kecil untuk versi tertentu. Beberapa karakteristik yang paling menarik dari perangkat grup adalah:

• Kelimpahan alat: Kami telah melihat tujuh pintu belakang kustom berbeda yang digunakan oleh grup sejak September 2021, dan juga melihat banyak modul berbahaya lainnya untuk mencatat penekanan tombol, mengambil tangkapan layar, menjalankan perintah, mengambil foto dengan webcam, atau mengekstrak file.
• Alat khusus: Dalam berbagai serangan yang dilakukan oleh grup ini dalam waktu singkat, kami mendeteksi komponen yang sama yang mengandung sedikit perubahan. Dalam beberapa kasus lain, kita telah melihat sebuah modul, dikodekan dari awal, yang mengikuti logika yang sama seperti beberapa komponen sebelumnya. Hanya dalam beberapa kasus kami melihat grup menggunakan alat atau kode yang tersedia untuk umum. Semua ini menunjukkan kepada kita bahwa POLONIUM membangun dan memelihara alatnya sendiri.
• Layanan awan: Grup menyalahgunakan layanan cloud umum seperti Dropbox, OneDrive, dan Mega untuk komunikasi C&C (menerima perintah dan mengekstrak data).
• Komponen kecil: Sebagian besar modul jahat grup berukuran kecil, dengan fungsionalitas terbatas. Dalam satu kasus, penyerang menggunakan satu modul untuk mengambil tangkapan layar dan modul lainnya untuk mengunggahnya ke server C&C. Pada catatan yang sama, mereka suka membagi kode di pintu belakang mereka, mendistribusikan fungsionalitas berbahaya ke dalam berbagai DLL kecil, mungkin berharap bahwa pembela atau peneliti tidak akan mengamati rantai serangan yang lengkap.

Drive yang Menyeramkan

CreepyDrive adalah backdoor PowerShell yang membaca dan menjalankan perintah dari file teks yang disimpan di OneDrive atau Dropbox. Itu dapat mengunggah atau mengunduh file dari akun yang dikendalikan penyerang di layanan cloud ini, dan menjalankan kode PowerShell yang disediakan. Gambar 2 menunjukkan bagian dari kode yang mengunduh file dan menjalankan perintah. Perhatikan bahwa pintu belakang ini didokumentasikan dalam laporan Microsoft pada bulan Juni 2022.

CreepyDrive menggunakan API HTTP OneDrive (dan API HTTP Dropbox) untuk mengakses penyimpanan cloud. Dalam kedua kasus itu menggunakan token penyegaran, ID klien, dan rahasia klien (semua hardcoded) untuk menghasilkan token akses yang mengotentikasi pengguna dan memberikan akses ke akun.

Meskipun kami tidak mengamati perintah yang dieksekusi oleh penyerang pada sistem yang disusupi, kami melihat file log yang mendokumentasikan eksekusi perintah pada komputer korban. Isi dari file log (decode) ditunjukkan pada Gambar 3.

Gambar 3. Log eksekusi perintah dan outputnya

siput menyeramkan

CreepySnail adalah backdoor PowerShell lain yang mengirimkan permintaan HTTP ke server C&C dan menerima serta menjalankan perintah PowerShell. Kami melihat berbagai versi pintu belakang ini di alam liar, meskipun perbedaan di antara mereka sangat minim. Gambar 4 menunjukkan satu versi yang dapat menjalankan executable apa pun yang ditentukan oleh server C&C (asalkan ada di folder malware). Kami tidak akan membahas lebih detail tentang pintu belakang ini karena telah dijelaskan oleh Microsoft dalam laporan mereka.

Gambar 4. Kode yang digunakan oleh CreepySnail untuk menjalankan perintah

Creep yang dalam

DeepCreep adalah backdoor yang sebelumnya tidak berdokumen yang ditulis dalam C# yang membaca perintah dari file teks yang disimpan di akun Dropbox dan dapat mengunggah atau mengunduh file ke dan dari akun tersebut. Beberapa versi DeepCreep memiliki string yang dikaburkan, beberapa memisahkan kode menjadi DLL, dan beberapa memiliki lebih banyak atau lebih sedikit perintah. Kami akan fokus pada versi yang paling umum untuk analisis ini, meskipun fitur menarik dari versi lain akan disebutkan.

Perintah yang akan dieksekusi oleh pintu belakang dibaca dari file cd.txt di folder root sisi server korban; setelah dibaca, file akan dihapus dari cloud. DeepCreep menjalankan proses ini dalam lingkaran tak terbatas, yang berarti bahwa yang baru cd.txt file harus ditempatkan di penyimpanan cloud untuk setiap perintah untuk dieksekusi. Jika file tidak ditemukan, backdoor tidur kemudian mencoba lagi. Daftar perintah yang dapat diproses DeepCreep ditunjukkan pada Tabel 1.

Tabel 1. Daftar perintah yang didukung oleh DeepCreep

DeepCreep bertahan dengan membuat file LNK di %APPDATA%MicrosoftWindowsStart MenuProgramStartup dan dengan membuat tugas terjadwal. Perintah PowerShell digunakan untuk membuat file LNK, seperti yang ditunjukkan pada Gambar 5.

Gambar 5. Bagian dari kode yang digunakan DeepCreep untuk membangun kegigihan

Otentikasi dengan cloud dilakukan dengan menggunakan OAuth 2.0 token, yang di-hardcode dalam binari. DeepCreep membutuhkan DLL yang sah dengan SDK Dropbox untuk dapat berkomunikasi dengan cloud.

Kami melihat beberapa kasus di mana loader terpisah – WindowsTool.exe – digunakan untuk mengimplementasikan kegigihan dan menjalankan DeepCreep dengan InstalUtil, alat yang sah dari .NET Framework. Versi pintu belakang ini memiliki kode berbahaya yang disediakan dalam rutinitas penghapusan instalasi dan dijalankan dengan /u (copot pemasangan) opsi dari InstalUtil.exe, mungkin untuk menyesatkan pembela. Gambar 6 menunjukkan bagian dari kode loader.

Gambar 6. Bagian dari kode loader yang mengeksekusi DeepCreep

Dalam hal kebingungan string, kita telah melihat dua variasi: ROT13 dan AsStrongAsFuck obfuscator. Versi terbaru DeepCreep yang kami lihat menggunakan enkripsi AES dan memiliki perintah kunci yang sama dengan pintu belakang MegaCreep, yang akan kami jelaskan di bagian selanjutnya.

Mega Creep

MegaCreep adalah backdoor yang sebelumnya tidak berdokumen berdasarkan DeepCreep, dengan fungsionalitas tambahan. Ia membaca dan menjalankan perintah dari file teks yang disimpan di Mega penyimpanan awan. Meskipun MegaCreep bisa dibilang hanya versi DeepCreep yang lebih baru, dan sebenarnya menggunakan kembali kode dari DeepCreep, tampaknya para penyerang menganggap kedua backdoor sebagai proyek terpisah.

MegaCreep memproses perintah yang sama yang kami jelaskan untuk DeepCreep, tetapi disimpan dalam bentuk terenkripsi AES dalam file cd.txt. Ini memiliki perintah tambahan, baik yang terkait dengan kunci yang digunakan untuk dekripsi, yang dijelaskan pada Tabel 2.

Tabel 2. Daftar perintah baru yang ditambahkan ke MegaCreep

MegaCreep memeriksa perintah ini terlebih dahulu, yang disimpan tidak terenkripsi di cd.txt. Jika tidak ada perintah ini yang ditemukan, maka isi dari cd.txt didekripsi menggunakan kunci yang ada di Cert.dll. Setelah dekripsi, semua perintah yang sama yang kami jelaskan untuk DeepCreep dapat dijalankan oleh MegaCreep.

MegaCreep menggunakan Klien MegaApi Pustaka C# untuk berkomunikasi dengan penyimpanan cloud Mega. Otentikasi dilakukan dengan nama pengguna dan kata sandi, yang disimpan terenkripsi dalam file lokal, Sess.dll. Gambar 7 menunjukkan kode yang memuat nama pengguna dan kata sandi dari Sess.dll.

Gambar 7. Kode yang digunakan di MegaCreep untuk memuat nama pengguna dan kata sandi

Pintu belakang ini adalah contoh bagus dari preferensi yang dimiliki POLONIUM untuk menggunakan DLL terpisah dengan fungsi khusus, seperti yang ditunjukkan pada Gambar 8. Dalam contoh, dua metode dari PRLib.dll disebut: CHP, yang mematikan proses yang berjalan dengan nama yang sama dengan executable pintu belakang (yaitu, eksekusi pintu belakang sebelumnya yang masih berjalan), dan XVDFv, yang mengimplementasikan kegigihan (dengan cara yang sama seperti yang kami jelaskan untuk DeepCreep).

Gambar 8. Contoh metode pemanggilan MegaCreep dari DLL terpisah

Fitur lain yang ditambahkan ke MegaCreep adalah output dari perintah yang dijalankan oleh cmd.exe dienkripsi sebelum diunggah ke cloud. Kunci yang digunakan untuk enkripsi sama dengan kunci yang digunakan untuk mendekripsi perintah.

Kami melihat satu kasus di mana MegaCreep dikerahkan menggunakan loader, WLAN-AutoConfig.exe. Kode utama untuk pintu belakang ditempatkan dalam file DLL, MainZero.dll, dan rutinitas lain yang berkomunikasi dengan Mega ditempatkan di DLL lain, MagLibrary.dll. Gambar 9 menunjukkan kode di loader yang memanggil Nol Utama.

Gambar 9. Kode untuk loader MegaCreep

Balik Creep

FlipCreep adalah backdoor lain yang sebelumnya tidak berdokumen yang ditulis dalam C # yang memiliki aliran eksekusi yang sangat mirip dengan backdoor lain yang telah kami jelaskan: ia membaca perintah dari pesanan.txt – file teks yang disimpan di server FTP yang dioperasikan oleh POLONIUM – dan dapat mengunggah atau mengunduh file dari server. Perintah yang dapat diproses oleh FlipCreep sama dengan backdoor lainnya, dengan pertimbangan sebagai berikut:

• Perintahnya mengunggah dan Download melakukan kebalikan dari apa yang diharapkan. Kami tidak tahu apakah ini sebuah kesalahan, tapi mengunggah sebenarnya mengunduh file dari server FTP ke korban, dan Download mengunggah file. Keduanya mengambil dua argumen, seperti yang terjadi di MegaCreep. Gambar 10 menunjukkan bagian dari kode yang mengupload file; kita dapat melihat bahwa ia mencari string Download.
• Ada perintah versi ftp yang mengunggah versi pintu belakang (hardcoded) ke file ver.txt di server FTP, di folder root untuk target.

Gambar 10. Bagian dari kode FlipCreep untuk mengunggah file

FlipCreep membuat folder dengan nama pengguna target di server FTP, bersama dengan subfolder ini:

• File: menyimpan file yang diunggah dari korban
• perintah: menyimpan output dari perintah yang dieksekusi dengan cmd.exe

Kegigihan dicapai dengan cara yang sama seperti yang dijelaskan untuk DeepCreep. Adapun kebingungan string, kami telah melihat satu sampel dengan kebingungan ROT13.

Techno Creep

TechnoCreep adalah backdoor C# yang sebelumnya tidak berdokumen yang berkomunikasi dengan server C&C melalui soket TCP. Dalam hal ini, perintah tidak dibaca dari file, tetapi diterima dalam pertukaran pesan. Pesan pertama dikirim oleh pintu belakang dan berisi informasi awal tentang korban, dalam format ####

adalah daftar alamat IP yang diselesaikan untuk nama host korban, dipisahkan oleh /. Daftar ini diperoleh dengan menelepon Dns.GetHostByName dan menerapkan ekspresi reguler untuk alamat IP. Semua elemen lain yang tidak cocok dengan ekspresi reguler dikirim sebagai ke server C&C; perhatikan bahwa dalam skenario paling umum daftar ini akan kosong.

TechnoCreep menerima perintah dalam infinite loop. Daftar perintah ditunjukkan pada Tabel 3.

Tabel 3. Daftar perintah yang didukung oleh TechnoCreep

TechnoCreep bertahan dengan menyalin executable-nya ke startup folder, seperti yang ditunjukkan pada Gambar 11. Kode identik juga dapat ditemukan di beberapa versi DeepCreep. Perhatikan bahwa tidak ada file LNK yang digunakan dalam metode ini.

Gambar 11. Kode TechnoCreep membangun ketekunan

Papa Creep

PapaCreep adalah backdoor kustom yang sebelumnya tidak berdokumen yang ditulis dalam C++ yang dapat menerima dan menjalankan perintah dari server jarak jauh melalui soket TCP. Pertama kali terlihat pada September 2022, ini adalah pintu belakang pertama yang digunakan oleh POLONIUM yang tidak ditulis dalam C# atau PowerShell.

PapaCreep adalah pintu belakang modular; kodenya telah dibagi dalam berbagai komponen, beberapa di antaranya dengan fungsionalitas minimal. Kita dapat meringkas komponen utama sebagai:

• Eksekutif: mencari file dengan perintah dan menjalankannya dengan cmd.exe. Outputnya disimpan ke file.
• Mailman: berkomunikasi dengan server C&C untuk menerima perintah dan menulisnya ke file. Itu juga mengirimkan file dengan output dari perintah ke server C&C.
• CreepyUp: mengunggah file apa pun ke server C&C.
• CreepyDown: mengunduh file apa pun dari server C&C.

Komponen Eksekutif dan Mailman berjalan secara independen satu sama lain dan bahkan bertahan dengan tugas terjadwal terpisah dalam sistem yang dikompromikan. Komunikasi dengan server jarak jauh menggunakan soket TCP mentah, tetapi informasi yang dikirim dan diterima oleh pintu belakang terkandung dalam kode HTML (dengan header HTTP palsu). Gambar 12 menunjukkan bahwa header di-hardcode di pintu belakang, dan Panjang konten selalu 1024. Perhatikan bahwa Content-Type adalah teks/-html, yang bukan merupakan nilai normal.

Gambar 12. Header HTTP hardcode yang digunakan oleh pintu belakang PapaCreep

Komponen Mailman memulai komunikasi dengan server C&C dengan mengirimkan - (dikodekan base64). Kemudian memulai dua utas: salah satunya menerima perintah dari server dan yang lainnya mengirimkan output yang tersedia dari eksekusi perintah. Pembatas digunakan untuk mengirim dan menerima: kode#s dan kode#f digunakan untuk menandai awal dan akhir data. Contoh pesan yang dikirim ke server dengan output a dir perintah ditunjukkan pada Gambar 13.

Gambar 13. Contoh pesan yang dikirim ke server C&C, dan konten yang didekodekan

Jika konten lebih besar dari 1024 byte, lebih dari satu pesan akan dikirim. Dalam hal ini, pesan pertama akan memiliki pembatas awal dan pesan terakhir akan memiliki pembatas akhir. Alamat IP dan port server C&C dibaca dari file teks, belum.dll, dengan format :: (dikodekan base64).

Modul CreepyUp dan CreepyDown bukan bagian dari alur utama eksekusi pintu belakang dan dapat dijalankan sesuai permintaan. Mereka adalah alat baris perintah mandiri yang mengambil dua argumen, file lokal dan file jarak jauh. Anehnya, nama file CreepyDown di komputer yang disusupi adalah UCLN.exe dan CreepyUp adalah DCLN.exe. Ini mirip dengan perintah mengunggah dan Download di pintu belakang FlipCreep yang melakukan kebalikan dari apa yang diharapkan. Baik CreepyUp dan CreepyDown membaca informasi server dari belum.dll berkas teks.

Modul lainnya

Untuk memata-matai korbannya, POLONIUM menggunakan beberapa modul lain di atas pintu belakang mereka, termasuk modul cangkang terbalik dan modul untuk membuat terowongan. Peneliti ESET telah mengamati banyak varian modul yang digunakan grup untuk mengambil tangkapan layar. Sedangkan untuk keylogger, POLONIUM telah menggunakan custom dan open-source. Keylogger kustom grup memantau penekanan tombol dan konten clipboard dan mendukung keyboard Ibrani dan Arab. POLONIUM juga telah menggunakan modul sederhana yang menggunakan AForge.NET untuk mengambil snapshot dari webcam dan menyimpannya di TEMP folder.

Infrastruktur jaringan

POLONIUM tidak menggunakan nama domain di salah satu sampel yang kami analisis, hanya alamat IP. Sebagian besar server adalah VPS khusus, kemungkinan dibeli daripada dikompromikan, dihosting di HostGW. Ada satu kasus khusus: alamat IP 45.80.149[.]154 host erichmocanu.tv, yang tampaknya merupakan situs web yang sah. Kemungkinan POLONIUM menggunakan server ini sebelum ditetapkan ke pemiliknya saat ini.

Kesimpulan

POLONIUM adalah aktor ancaman yang sangat aktif dengan gudang alat malware yang luas dan terus-menerus memodifikasinya dan mengembangkan yang baru. Karakteristik umum dari beberapa alat grup adalah penyalahgunaan layanan cloud seperti Dropbox, Mega, dan OneDrive untuk komunikasi C&C.

Laporan intelijen dan publik tentang POLONIUM sangat langka dan terbatas, kemungkinan karena serangan kelompok tersebut sangat ditargetkan, dan vektor kompromi awal tidak diketahui. ESET Research akan terus melacak aktivitasnya dan mendokumentasikan serangannya.

IoC

Daftar lengkap Indikator Kompromi dan contoh dapat ditemukan di repositori GitHub kami.

jaringan

Teknik ATT&CK MITER

Tabel ini dibuat menggunakan versi 11 dari kerangka MITRE ATT&CK.