Hôm thứ Năm, Microsoft cho biết họ đã thực hiện các bước để vô hiệu hóa hoạt động độc hại bắt nguồn từ việc lạm dụng OneDrive bởi một kẻ đe dọa không có giấy tờ trước đây mà nó theo dõi dưới biệt danh Polonium có chủ đề nguyên tố hóa học.
Ngoài việc xóa các tài khoản vi phạm được tạo bởi nhóm hoạt động có trụ sở tại Lebanon, Trung tâm Tình báo Đe dọa của gã khổng lồ công nghệ (MSTIC) cho biết họ đã tạm ngưng hơn 20 ứng dụng OneDrive độc hại được tạo và thông báo cho các tổ chức bị ảnh hưởng.
MSTIC đánh giá: “Hoạt động được quan sát được phối hợp với các bên khác có liên quan đến Bộ Tình báo và An ninh Iran (MOIS), chủ yếu dựa trên sự chồng chéo của nạn nhân và tính phổ biến của các công cụ và kỹ thuật”.
Tập thể đối thủ được cho là đã vi phạm hơn 20 tổ chức có trụ sở tại Israel và một tổ chức liên chính phủ có hoạt động tại Lebanon kể từ tháng 2 năm 2022.
Các mục tiêu được quan tâm bao gồm các tổ chức trong lĩnh vực sản xuất, CNTT, giao thông vận tải, quốc phòng, chính phủ, nông nghiệp, tài chính và chăm sóc sức khỏe, với một nhà cung cấp dịch vụ đám mây đã bị xâm phạm để nhắm mục tiêu vào một công ty hàng không và công ty luật trong trường hợp tấn công chuỗi cung ứng.
Trong phần lớn các trường hợp, quyền truy cập ban đầu được cho là có được bằng cách khai thác lỗ hổng truyền qua đường dẫn trong các thiết bị Fortinet (CVE-2018-13379), lạm dụng nó để thả các bộ cấy PowerShell tùy chỉnh như CreepySnail thiết lập kết nối với lệnh-và -control (C2) máy chủ cho các hành động tiếp theo.
Các chuỗi tấn công do nam diễn viên gắn kết đã liên quan đến việc sử dụng các công cụ tùy chỉnh tận dụng các dịch vụ đám mây hợp pháp như tài khoản OneDrive và Dropbox cho C2 bằng cách sử dụng các công cụ độc hại có tên CreepyDrive và CreepyBox với nạn nhân của nó.
Các nhà nghiên cứu cho biết: “Bộ phận cấy ghép cung cấp chức năng cơ bản cho phép kẻ đe dọa tải lên các tệp bị đánh cắp và tải tệp xuống để chạy”.
Đây không phải là lần đầu tiên những kẻ đe dọa Iran lợi dụng các dịch vụ đám mây. Vào tháng 10 năm 2021, Cybereason tiết lộ một chiến dịch tấn công được dàn dựng bởi một nhóm có tên MalKamak đã sử dụng Dropbox cho liên lạc C2 nhằm cố gắng duy trì tầm quan sát của radar.
Ngoài ra, MSTIC lưu ý rằng nhiều nạn nhân bị xâm nhập bởi Polonium trước đây đã bị nhắm mục tiêu bởi một nhóm Iran khác có tên MuddyWater (hay còn gọi là Mercury), được Bộ Tư lệnh Mạng Hoa Kỳ coi là “phần tử cấp dưới” trong MOIS.
Nạn nhân càng cho thấy sự tin tưởng vào các báo cáo trước đó rằng MuddyWater là một “tập đoàn” gồm nhiều đội dọc theo chiến tuyến của Winnti (Trung Quốc) và Lazarus Group (Triều Tiên).
Để chống lại các mối đe dọa như vậy, khách hàng nên bật xác thực đa yếu tố cũng như xem xét và kiểm tra các mối quan hệ đối tác để giảm thiểu mọi quyền không cần thiết.
.
