POLONIUM-Erkennung: Hackergruppe missbraucht Microsoft OneDrive
Inhaltsverzeichnis:
Eine Hackergruppe mit dem Namen POLONIUM wurde beim Missbrauch des Microsoft OneDrive-Personenspeicherdienstes beobachtet, um benutzerdefinierte bösartige Implantate abzulegen und Lieferkettenangriffe zu starten. Den Angreifern gelang es, mehr als 20 israelische Organisationen ins Visier zu nehmen, bevor sie aufgedeckt wurden. Es gibt substantielle Beweise dafür, dass die hinter den Angriffen stehenden Hacker in Libanon ansässig waren und von Irans Ministerium für Nachrichtenwesen und Sicherheit (MOIS) unterstützt wurden.
POLONIUM erkennen
Um festzustellen, ob Ihr System kompromittiert wurde, und um zukünftige Aktivitäten im Zusammenhang mit POLONIUM zu verhindern, nutzen Sie die von erfahrenen Threat Hunting-Ingenieuren herausgegebenen Sigma-Regeln von SOC Prime and Nattatorn Chuensangarun – ein professioneller Detektionsinhaltsautor, der zu unserem Threat Bounty Program beiträgt:
Verdächtige Powershell-Strings (über cmdline)
Mögliche POLONIUM-Ausführung durch Anfragen an vorhersehbare OneDrive-Dateipfade (über Proxy)
Die Regeln sind auf das neueste MITRE ATT&CK®-Framework v.10 abgestimmt und behandeln die Taktiken der Exfiltration, Command and Control und Ausführung mit Exfiltration über Web Service (T1567), Web Service (T1102) und Command and Scripting Interpreter (T1059) als primäre Techniken.
Nur registrierte Benutzer können auf die im SOC Prime Platform veröffentlichen Detektionsinhalte zugreifen. Drücken Sie die Ansicht in SOC Prime Platform Taste, um auf Detektionsalgorithmen zuzugreifen, die mit iranischen Cyberbedrohungsakteuren und anderen 185.000+ Sigma- und YARA-Regeln verbunden sind – die Registrierung auf der Plattform dauert nur wenige Klicks.
Drücken Sie die Drill Down zur Suchmaschine -Taste, um auf die Sammlung der gefragtesten Sigma-Regeln zuzugreifen, gebührenfrei und ohne Registrierung.
Ansicht in SOC Prime Platform Drill Down zur Suchmaschine
POLONIUM-Aktivität
Im Verlauf der letzten drei Monate startete ein in Libanon ansässiger Bedrohungsakteur, der als POLONIUM bezeichnet wird, Angriffe auf israelische Organisationen, die in den Bereichen Finanzen, kritische Fertigung, Gesundheit, Verkehr, IT, Lebensmittel und Landwirtschaft tätig sind. Die bösartige Aktivität wurde von Microsoftentdeckt. Laut dem am 2. Juni 2022 veröffentlichten Bericht missbrauchten POLONIUM-Akteure den OneDrive-Dateihostingdienst für Command and Control (C&C) in ihren Angriffen und platzierten auch bösartige Implantate wie CreepySnail und CreepyDrive.
Der Technologieriese betonte, dass diese Angriffe nicht durch Sicherheitslücken innerhalb der OneDrive-Plattform ermöglicht wurden – die Hacker meldeten sich einfach an und nutzten legitime Konten, um den OneDrive-Cloud-Dienst zu missbrauchen. Außerdem gibt es laut Microsoft keine Hinweise darauf, dass die Angreifer ihre Malware auf OneDrive speichern.
Microsoft-Forscher spekulieren, dass der anfängliche Zugangspunkt eine Sicherheitslücke in Fortinet-VPN-Appliances gewesen sein könnte (höchstwahrscheinlich die vier Jahre alte Schwachstelle, die als CVE-2018-13379 verfolgt wird). Die Annahmen wurden auf der Grundlage der Profile der Opfer getroffen: Die Mehrheit der Ziele (etwa 80%) nutzte Fortinet-Produkte.
Die Angriffe wurden nicht mit anderen libanesischen Bedrohungsakteuren in Verbindung gebracht; jedoch legen Forschungsdaten nahe, dass die POLONIUM-Aktivitäten der iranischen Regierung zugeschrieben werden können.
The SOC Prime Plattform hilft dabei, sich schneller und effizienter gegen maßgeschneiderte Hacking-Lösungen zu verteidigen. Testen Sie die Inhalts-Streaming-Fähigkeiten des CCM-Moduls und helfen Sie Ihrer Organisation, die täglichen SOC-Operationen mit unserer reichhaltigen Bibliothek von Sigma-Regeln für Cyber-Verteidiger zu stärken. Verpassen Sie nie einen Takt in einer dynamischen Umgebung voller Cybersecurity-Risiken und erhalten Sie die besten Abhilfelösungen mit SOC Prime.
