Detección de POLONIUM: Grupo de Hackers Abusa de Microsoft OneDrive
Tabla de contenidos:
Se ha observado que un grupo de hackers etiquetado como POLONIUM está abusando del servicio de almacenamiento personal Microsoft OneDrive para desplegar implantes maliciosos personalizados y lanzar ataques a la cadena de suministro. Los adversarios lograron atacar a más de 20 organizaciones israelíes antes de ser descubiertos. Hay pruebas sustanciales de que los hackers detrás de los ataques estaban basados en Líbano y contaban con el apoyo del Ministerio de Inteligencia y Seguridad de Irán (MOIS).
Detectar POLONIUM
Para identificar si su sistema fue vulnerado y disuadir futuras actividades relacionadas con POLONIUM, utilice las reglas de Sigma publicadas por ingenieros expertos en caza de amenazas de SOC Prime and Nattatorn Chuensangarun – un autor de contenido de detección profesional que contribuye a nuestro Programa de Recompensas de Amenazas:
Cadenas de Powershell Sospechosas (vía cmdline)
Las reglas están alineadas con el marco MITRE ATT&CK® más reciente v.10, abordando las tácticas de Exfiltración, Comando y Control, y Ejecución con Exfiltración a través de Servicio Web (T1567), Servicio Web (T1102), y Comando e Intérprete de Scripts (T1059) como técnicas principales.
Solo los usuarios registrados pueden acceder al contenido de detección publicado en la Plataforma SOC Prime. Pulse el Ver en la Plataforma SOC Prime botón para acceder a algoritmos de detección asociados con actores de amenazas cibernéticas iraníes y otras 185,000+ reglas Sigma y YARA ahora – la registración en la Plataforma es cuestión de unos pocos clics.
Presione el Perforar en el Motor de Búsqueda botón para acceder a la colección de las reglas Sigma más solicitadas, sin registro ni tarifa.
Ver en la Plataforma SOC Prime Perforar en el Motor de Búsqueda
Actividad de POLONIUM
En los últimos tres meses, un actor de amenazas con sede en Líbano llamado POLONIUM lanzó ataques contra organizaciones israelíes que operan en los sectores de finanzas, manufactura crítica, salud, transporte, TI, alimentos y agricultura. La actividad maliciosa fue detectada por Microsoft. Según el informe publicado el 2 de junio de 2022, los actores POLONIUM abusaron del servicio de alojamiento de archivos OneDrive para comando y control (C&C) en sus ataques, desplegando también implantes maliciosos CreepySnail y CreepyDrive.
El gigante tecnológico enfatizó que esos ataques no se habilitaron por ninguna vulnerabilidad de seguridad dentro de la plataforma OneDrive – los hackers simplemente se registraron y usaron cuentas legítimas para hacer un mal uso del servicio de nube de OneDrive. Además, según Microsoft, no hay rastros de que los adversarios almacenaran su malware en OneDrive.
Los investigadores de Microsoft especulan que el punto de acceso inicial podría haber sido una falla en los dispositivos VPN de Fortinet (muy probablemente la vulnerabilidad de cuatro años registrada como CVE-2018-13379). Las suposiciones se hicieron basadas en los perfiles de las víctimas: la mayoría de los objetivos (alrededor del 80%) estaban utilizando productos de Fortinet.
Los ataques no estuvieron vinculados a otros actores de amenazas con sede en Líbano; sin embargo, los datos de investigación sugieren que la actividad de POLONIUM puede atribuirse al gobierno iraní.
The La plataforma de SOC Prime ayuda a defenderse contra soluciones de hacking personalizadas de manera más rápida y eficiente. Pruebe las capacidades de transmisión de contenido del módulo CCM y ayude a su organización a potenciar las operaciones diarias del SOC con nuestra rica biblioteca de reglas Sigma para defensores cibernéticos. No pierda el ritmo operando en un entorno de ciberseguridad en constante cambio y obtenga las mejores soluciones de mitigación con SOC Prime.
