g1005-polonium - RunkIntel

# POLONIUM > [!danger] Operador Libanês do MOIS - 7 Backdoors Criativos com Cloud C2 > POLONIUM é notório por seu portfólio de **7 backdoors "Creepy"** - todos usando serviços de nuvem legítimos (OneDrive, Dropbox, Slack, GitHub) como canal de C2, tornando o tráfego malicioso indistinguível de sincronização corporativa normal. ## Visão Geral **POLONIUM** (também rastreado como **Plaid Rain**) é um grupo de ameaça baseado no Líbano que opera em coordenação com o **Ministério de Inteligência e Segurança (MOIS) do Irã**. Ativo desde pelo menos fevereiro de 2022, o grupo mantém foco quase exclusivo em **organizações israelenses** - especialmente nos setores de manufatura crítica, tecnologia, defesa e saúde. Documentado pela Microsoft MSTIC em 2022, o POLONIUM se destaca por sua estratégia de **C2 via serviços de nuvem legítimos**: todos os seus backdoors da família "Creepy" utilizam APIs de OneDrive, Dropbox, Slack, GitHub e outras plataformas para receber comandos e exfiltrar dados - tornando o tráfego malicioso virtualmente idêntico ao uso corporativo normal desses serviços. A coordenação com o MOIS iraniano foi inferida pela Microsoft com base em sobreposição de vítimas com outros grupos iraniano-patrocinados, ferramentas compartilhadas e timing de campanhas alinhado a objetivos de inteligência iranianos. ## Attack Flow - Comprometimento via Cadeia de Fornecedores ```mermaid graph TB A["🏭 Cadeia de Fornecedores Comprometimento de parceiros IT de alvos israelenses T1199 Trusted Relationship"] --> B["🔑 Contas Válidas Credenciais roubadas de provedores de servicos T1078 Valid Accounts"] B --> C["🌐 Implantação Inicial Backdoor Creepy via script PowerShell"] C --> D["☁️ C2 Cloud Legitimo OneDrive / Dropbox Slack / GitHub APIs"] D --> E["🔄 Comúnicação Bidirecional Recebe comandos Exfiltra arquivos Camuflado como sync"] E --> F["📤 Exfiltração para Cloud T1567.002 Dados de defesa e tecnologia"] classDef supply fill:#7b241c,color:#fff,stroke:#641e16 classDef creds fill:#c0392b,color:#fff,stroke:#922b21 classDef implant fill:#e67e22,color:#fff,stroke:#d35400 classDef c2 fill:#1a5276,color:#fff,stroke:#154360 classDef comm fill:#2471a3,color:#fff,stroke:#1a5276 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A supply class B creds class C implant class D c2 class E comm class F exfil ``` ## A Família Creepy - 7 Backdoors | Backdoor | Plataforma C2 | Capacidades Principais | |---------|---------------|------------------------| | **CreepyDrive** | OneDrive | Download/upload de arquivos, execução de comandos | | **CreepySnail** | OneDrive | Backdoor simples, shell reverso | | **CreepyBox** | Dropbox | Variante com Dropbox API | | **CreepySlack** | Slack | C2 via workspace Slack corporativo | | **DeepCreep** | Dropbox | Variante avançada com persistência | | **MegaCreep** | Mega.nz | Exfiltração de grandes volumes | | **FlipCreep** | FTP anônimo | Fallback quando cloud está bloqueado | ### Por Que Cloud C2 É Tão Eficaz? ```mermaid graph TB A["Defesa Tradicional Bloqueia IPs/domínios maliciosos conhecidos"] --> X["Ineficaz contra POLONIUM"] B["POLONIUM usa OneDrive e Dropbox"] --> C["Mesmo trafego que sincronizacao corporativa legítima"] C --> D["IPs dos servidores Microsoft/Dropbox NUNCA bloqueados"] D --> E["Proxy/DLP nao inspeciona conteudo de servicos confiáveis"] E --> F["Comúnicação C2 totalmente invisível para controles perimetrais"] classDef defense fill:#1a5276,color:#fff,stroke:#154360 classDef attack fill:#c0392b,color:#fff,stroke:#922b21 classDef result fill:#196f3d,color:#fff,stroke:#145a32 class A,B defense class C,D,E attack class F result ``` ## Coordenação com MOIS A Microsoft identificou evidências de coordenação entre POLONIUM e grupos afiliados ao MOIS iraniano: - Sobreposição de vítimas entre POLONIUM e [[g0069-mango-sandstorm|MuddyWater]] (confirmado MOIS) - Timing de campanhas alinhado com objetivos estratégicos iranianos - Ferramentas e TTP compartilhadas com outros grupos iranianos - Foco em Israel exclusivamente - consistente com prioridades geopolíticas do Irã ## Técnicas Utilizadas - [[t1199-trusted-relationship|T1199 - Trusted Relationship]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1583-006-web-services|T1583.006 - Web Services]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1090-proxy|T1090 - Proxy]] - [[t1588-002-tool|T1588.002 - Tool]] ## Software Utilizado - [[s1023-creepydrive|CreepyDrive]] - [[s1024-creepysnail|CreepySnail]] ## Grupos Relacionados - [[g0069-mango-sandstorm|MuddyWater]] - APT iraniano confirmado MOIS com coordenação documentada - [[g0077-leafminer|Leafminer]] - outro APT iraniano com targeting similar no Oriente Médio - [[g0049-oilrig|OilRig]] - grupo iraniano com técnicas de C2 inovadoras - [[g0064-apt33|APT33]] - APT iraniano com foco em infraestrutura critica ## Relevância para o Brasil e LATAM > [!info] Risco Indireto - Cadeia de Fornecedores e Técnicas Transferíveis > POLONIUM tem foco geográfico exclusivo em Israel. Não há registros de campanhas na LATAM. O risco para o Brasil é indireto, mas as técnicas de cloud C2 são altamente transferíveis para qualquer ator motivado. A técnica de **C2 via serviços de nuvem legítimos** representa um paradigma que outros grupos adotaram e continuarão adotando. Organizações brasileiras nos setores de [[defense|defesa]], [[technology|tecnologia]] e [[critical-infrastructure|infraestrutura crítica]] devem: - Implementar **CASB (Cloud Access Security Broker)** para inspecionar tráfego para serviços de nuvem corporativos - Monitorar padrões anômalos de sincronização com OneDrive/Dropbox (horários incomuns, grandes volumes, padrões regulares de upload pequenos) - Aplicar DLP em fluxos de saída para serviços de compartilhamento de arquivos - Revisar permissões de aplicativos OAuth que acessam OneDrive e Dropbox em nome de usuários Organizações brasileiras com parceiros israelenses ou fornecedores de tecnologia de defesa devem estar alertas para possível comprometimento via cadeia de fornecedores - o vetor primário do POLONIUM. ## Detecção e Mitigação - Monitorar API calls para OneDrive, Dropbox e Slack com frequência ou volumes incomuns - Restringir quais aplicativos têm permissão OAuth para acessar OneDrive de contas corporativas - Implementar autenticação multifator em provedores de serviços IT e parceiros (evita comprometimento via trusted relationship) - Detectar scripts PowerShell que fazem chamadas a APIs de serviços de nuvem (CreepyDrive signature) - Segmentar ambientes de manufatura e tecnologia crítica de acesso externo de parceiros ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2022/06/02/exposing-polonium-activity-and-infrastructure-targeting-israeli-organizations/) Microsoft MSTIC - Exposing POLONIUM activity targeting Israeli organizations (2022) - [2](https://attack.mitre.org/groups/G1005/) MITRE ATT&CK - G1005 POLONIUM - [3](https://www.welivesecurity.com/2022/10/11/polonium-targets-israel-creepy-malware/) ESET WeLiveSecurity - POLONIUM targets Israel with Creepy malware (2022) - [4](https://therecord.media/polonium-plaid-rain-israel-microsoft-cloud-c2) The Record - POLONIUM group uses cloud services as C2 to target Israeli organizations (2022)