A Microsoft disse que bloqueou um grupo de hackers com sede no Líbano que rastreava como a Polonium usava a plataforma de armazenamento em nuvem OneDrive para violações de dados e comando e controle, enquanto visava e comprometer organizações israelenses.
A empresa também suspendeu mais de 20 aplicativos maliciosos do OneDrive usados no ataque Polonium, uma ferramenta para notificar organizações-alvo por meio de atualizações de inteligência de segurança e agentes de ameaças em quarentena.
De acordo com a análise de Redmond, os operadores da Polonium também podem ter se coordenado com vários atores de ameaças vinculados ao Irã durante ataques que visaram principalmente setores-chave das indústrias de manufatura, TI e defesa de Israel desde fevereiro de 2022. sua tentativa de hacking.
“Também avaliamos com confiança moderada que a atividade observada foi coordenada com outros atores afiliados ao Ministério de Inteligência e Segurança do Irã (MOIS), com base principalmente na sobreposição de vítimas e na uniformização de ferramentas e técnicas”, disse a Microsoft.
“Tal colaboração ou orientação de Teerã se alinharia a uma série de revelações desde o final de 2020 de que o governo do Irã está usando terceiros para realizar operações cibernéticas em seu nome, provavelmente aumentando a negação plausível do Irã”.
Em alguns ataques, a Microsoft observou evidências apontando para operadores MOIS que podem ter dado aos hackers Polonium acesso a redes previamente comprometidas.
🚨DICA: Entre no nosso Canal do WhatsApp e receba contéudo técnico e atualizações das nossas postagens. Se você não pode fazer um investimento agora na sua carreira, comece por esse Curso Gratuito Gratuito de HTML, CSS e JavaScript! 🚀
Os operadores da Polonium também visaram várias vítimas comprometidas pelo grupo MuddyWater APT, rastreado pela Microsoft como Mercury e vinculado pelo Comando Cibernético dos EUA ao Ministério de Inteligência e Segurança do Irã.
Os agentes de ameaças usaram uma variedade de malware em seus ataques, como os implantes CreepyDrive e CreepySnail baseados em PowerShell, para comando e controle e roubo de dados.
Possível acesso inicial através de dispositivos Fortinet vulneráveis
A Microsoft acrescentou que, para a grande maioria das vítimas, o vetor de acesso inicial parece ser dispositivos Fortinet FortiOS SSL VPN sem patch que são vulneráveis à vulnerabilidade CVE-2018-13379 que visa uma chave que permite a vulnerabilidade de passagem de caminho de roubo de credenciais.
Isso ocorre depois que hackers vazaram as credenciais de quase 50.000 VPNs Fortinet vulneráveis em novembro de 2020, apenas alguns dias após a lista de vulnerabilidades de linha única CVE-2018-13379 ser compartilhada online.
Quase um ano depois, uma lista de quase 500.000 credenciais Fortinet VPN supostamente extraídas de dispositivos exploráveis vazou novamente online.
As agências de segurança cibernética nos EUA, Reino Unido e Austrália alertaram em novembro de 2021 que várias vulnerabilidades da Fortinet (incluindo a passagem de caminho CVE-2018-13379) estavam sendo ativamente exploradas por grupos de hackers apoiados pelo Irã.
“Enquanto continuamos a buscar a confirmação de como o POLONIUM obteve acesso inicial a muitas de suas vítimas, a MSTIC observa que aproximadamente 80% das vítimas observadas que acessam o graph.microsoft.com estavam executando dispositivos Fortinet”, acrescentou a Microsoft .
“Isso sugere, mas não prova definitivamente, que o POLONIUM comprometeu esses dispositivos Fortinet explorando a vulnerabilidade CVE-2018-13379 para obter acesso às organizações comprometidas”.
A Microsoft pediu aos clientes que garantam que o Microsoft Defender Antivirus use a atualização mais recente do Security Intelligence (versão 1.365.40.0 ou posterior) e aplique a autenticação multifator (MFA) a todas as conexões remotas para evitar possível abuso de credenciais.
Leia também: Por que o Python é tão importante nas finanças?
