微软透露针对以色列的 POLONIUM 组织攻击活动

发布时间：2022-06-14 13:44 所属栏目：53 来源：互联网

导读：微软近期发现了一个总部设在黎巴嫩的攻击组织 POLONIUM。根据受害者与攻击工具的分析，微软认为其很有可能是由伊朗情报与安全部（MOIS）下属的攻击者运营的。并且，微软未发现该组织的攻击与过往黎巴嫩相关攻击组织有任何关联。自从 2020 年以来，有消息称伊

　　微软近期发现了一个总部设在黎巴嫩的攻击组织 POLONIUM。根据受害者与攻击工具的分析，微软认为其很有可能是由伊朗情报与安全部（MOIS）下属的攻击者运营的。并且，微软未发现该组织的攻击与过往黎巴嫩相关攻击组织有任何关联。自从 2020 年以来，有消息称伊朗正在从第三方代理人处开展网络攻击行动，以对抗归因指责。

　　POLONIUM 攻击的目标很多都是 MERCURY 之前入侵的受害者，美国网络司令部认为 MERCURY 就是 MuddyWater；
　　在部分受害者处，MOIS 为 POLONIUM 提供了过往攻击使用的访问权限，这可能是一种交接；
　　POLONIUM 与 Lyceum 都使用包括 OneDrive 在内的云服务进行数据泄露、命令控制；
　　POLONIUM 与 CopyKittens 都使用 AirVPN。
　　滥用云服务
　　POLONIUM 利用云服务进行命令和控制以及数据泄露，微软在攻击中发现 POLONIUM 滥用 OneDrive 和 Dropbox。相关恶意软件被检测为：

　　Trojan:PowerShell/CreepyDrive.A!dha
　　Trojan:PowerShell/CreepyDrive.B!dha
　　Trojan:PowerShell/CreepyDrive.C!dha
　　Trojan:PowerShell/CreepyDrive.D!dha
　　Trojan:PowerShell/CreepyDrive.E!dha
　　Trojan:MSIL/CreepyBox.A!dha
　　Trojan:MSIL/CreepyBox.B!dha
　　Trojan:MSIL/CreepyBox.C!dha
　　尽管 OneDrive 会对所有上传的文件进行扫描，但 POLONIUM 并未使用 OneDrive 存储恶意软件，只是与合法用户相同的方式与云服务进行交互。

　　(1) Upload

　　响应中为 Upload 时，触发该分支。还需要包含两个信息：要上传的本地文件路径、攻击者自定义的远程文件名。请求结构为：ttps://graph.microsoft.com/v1.0/me/drive/root:/Uploaded/???:/content。

　　(2) Execute

　　未响应任何指令时，将进入该分支。响应中可以包含要执行的命令数组或先前下载文件的文件路径。攻击者也可以使用单命令与文件路径的组合。

（编辑：ASP站长网）