微软周四表示,它已成功“识别并禁用”了一个此前未报告的黎巴嫩黑客组织,它认为该组织正在与伊朗情报部门合作。
被微软威胁情报中心 (MSTIC) 追踪为“Polonium”的黑客组织在过去三个月针对或破坏了 20 多个以色列组织和一个在黎巴嫩开展业务的政府间组织,重点关注关键制造业, IT 和以色列的国防工业。 微软在一篇博文中表示,在一个案例中,一家云服务提供商“被用来针对下游航空公司和律师事务所发起供应链攻击”。
它补充说,钋运营商还瞄准了被MuddyWater APT 组织入侵的多名受害者,微软将其跟踪为 Mercury,美国网络司令部今年早些时候将其与伊朗情报联系起来。
此前未知的黑客组织创建了合法的Microsoft OneDrive帐户,然后将这些帐户用作命令和控制 (C2) 来执行部分攻击操作。微软研究人员写道,观察到的活动与 OneDrive 中的任何安全问题或漏洞无关。
MSTIC 表示,它高度相信袭击背后的组织总部设在黎巴嫩,并补充说他们“适度”相信 Polonium 正在与伊朗情报和安全部 (MOIS) 合作。
“受害组织的独特性表明任务要求与 MOIS 的融合,”微软说。 “这也可能是一种‘交接’操作模式的证据,其中 MOIS 为 Polonium 提供了访问先前受损的受害者环境以执行新活动的权限。”
微软表示,它成功暂停了由 Polonium 威胁参与者创建的 20 多个恶意 OneDrive 应用程序。该公司补充说,它还通知了受影响的组织,并部署了一系列安全情报更新,以隔离与伊朗有关的黑客开发的工具。
目前尚不清楚攻击者是如何获得对受害者网络的初始访问权限的,但微软指出,大约 80% 的受感染组织都在运行 Fortinet 设备,这“表明,但不能明确证明”Polonium 使用了三年的时间破坏了 Fortinet -旧漏洞标识为 CVE-2018-13379。
微软采取行动的几个月前,美国政府与澳大利亚和英国的同行警告说,伊朗国家支持的黑客正在针对关键基础设施领域的美国组织——在某些情况下是使用勒索软件。该公告称,伊朗支持的黑客于去年 5 月访问了托管该域名的美国市政府网络服务器,然后在下个月访问了美国一家专门从事儿童医疗保健的医院的网络。