微软称阻止了黎巴嫩黑客组织对以色列的攻击活动
6月2日,微软发布了一篇研究报告,声称成功检测到一个此前未记录的黎巴嫩组织(微软称之为POLONIUM),并采取措施阻止了其针对以色列机构的网络攻击活动。
报告上写道,在过去的三个月以来,POLONIUM以20多个以色列组织和一个在黎巴嫩开展业务的政府机构为目标进行破坏活动,这些攻击主要针对以色列关键制造业、IT行业以及国防工业。
微软认为POLONIUM是一个设在黎巴嫩的黑客集团,并怀疑其与伊朗情报和安全部(MOIS)下属组织有一定关系,这个判断主要基于受害者的重叠以及工具和技术的共性得出。并且微软表示这与其自2020年底以来的一系列揭露相一致,即伊朗政府正在利用第三方开展网络行动。
在攻击链中使用的自定义工具利用合法的云服务进行命令和控制以及数据泄露,微软观察到植入物连接到OneDrive和Dropbox中的由POLONIUM拥有的帐户。这些工具被检测为CreepyDrive和CreepyBox恶意软件。
对攻击的分析显示,大约80%的情况下,初始访问是通过利用Fortinet设备中的路径遍历漏洞(CVE-2018-13379)获取的,随后攻击者使用自定义PowerShell植入物,如CreepySnail,通过这些植入物建立与命令和控制(C2)服务器的连接以进行后续操作。
在观察到POLONIUM在攻击活动中滥用OneDriver后,微软关停了POLONIUM创建的20多个恶意OneDrive应用程序,然后通知了受影响的组织,并部署了一系列安全情报更新,以隔离POLONIUM运营商开发的工具。
报告链接:
