Cyberthreat.id – Peneliti keamanan dari ESET mengungkapkan kelompok peretas dan spionase siber POLONIUM, menggunakan malware Creepy untuk menargetkan organisasi Israel secara eksklusif.

POLONIUM merupakan salah satu kelompok peretasan yang aktif sejak Juni 2022. Kelompok ini diketahui berasal dari Lebanon dan bekerjasama dengan Kementerian Intelijen dan Keamanan (MOIS) Iran.

Dikutip dari Bleeping Computer, POLONIUM menggunakan malware khusus ini untuk menargetkan perusahaan teknik, TI, hukum, komunikasi, pemasaran, dan asuransi di Israel. Hingga saat ini kampanye yang dilakukan kelompok ini masih aktif.

Dalam laporannya, ESET menyebutkan bahwa POLONIUM hanya tertarik pada spionase siber dan tidak menyebarkan penghapus data, ransomware, atau alat perusak file lainnya.

Sejak September 2021, para peretas telah menggunakan setidaknya tujuh varian pintu belakang khusus, termasuk empat pintu belakang tidak berdokumen baru yang dikenal sebagai 'TechnoCreep', 'FlipCreep', 'MegaCreep', dan 'PapaCreep.'

Bahkan, beberapa backdoor diketahui telah menyalahgunakan layanan cloud yang sah, seperti OneDrive, Dropbox, dan Mega, untuk bertindak sebagai server perintah dan kontrol (C2). Backdoor lain menggunakan koneksi TCP standar ke server C2 jarak jauh atau mendapatkan perintah untuk dieksekusi dari file yang dihosting di server FTP.

“Meskipun tidak semua pintu belakang memiliki fitur yang sama, aktivitas jahatnya mencakup kemampuan untuk mencatat penekanan tombol, mengambil tangkapan layar desktop, mengambil foto dengan webcam, mengekstrak file dari host, menginstal malware tambahan, dan menjalankan perintah pada perangkat yang terinfeksi,” kata ESET.

ESET menyebutkan bahwa backdoor terbaru yang disebut PapaCreep, terlihat pada September 2022. Backdoor ini merupakan yang pertama di C++, sedangkan para peretas menulis versi yang lebih lama baik di PowerShell atau C#.

PapaCreep juga modular, memecah eksekusi perintahnya, komunikasi C2, unggah file, dan fungsi unduh file menjadi komponen-komponen kecil. Keuntungannya adalah komponen dapat berjalan secara independen, bertahan melalui tugas terjadwal terpisah dalam sistem yang dilanggar, dan membuat pintu belakang lebih sulit dideteksi.

Selain varian malware Creepy, POLONIUM juga menggunakan berbagai alat open source, baik custom atau off-the-shelf, untuk reverse proxy, pengambilan screenshot, keylogging, dan gertakan webcam, sehingga ada tingkat redundansi dalam operasi.

Meski menemukan malware yang digunakan, namun ESET tidak dapat menemukan taktik POLONIUM yang digunakan untuk mengkompromikan jaringan, tetapi Microsoft sebelumnya melaporkan bahwa grup tersebut menggunakan kelemahan produk VPN yang diketahui untuk menembus jaringan. Infrastruktur jaringan pribadi pelaku ancaman tersembunyi di balik server pribadi virtual (VPS) dan situs web resmi yang disusupi, sehingga pemetaan aktivitas grup tetap tidak jelas.