Détection de POLONIUM : Le groupe de hackers abuse de Microsoft OneDrive
Table des matières :
Un groupe de hackers, nommé POLONIUM, a été observé en train d’abuser du service de stockage personnel Microsoft OneDrive pour déployer des implants malveillants sur mesure et lancer des attaques par chaîne d’approvisionnement. Les adversaires ont réussi à cibler plus de 20 organisations israéliennes avant d’être découverts. Il existe des preuves substantielles que les hackers derrière les attaques étaient basés au Liban et étaient soutenus par le ministère iranien du Renseignement et de la Sécurité (MOIS).
Détecter POLONIUM
Pour identifier si votre système a été compromis et dissuader toute activité future liée à POLONIUM, utilisez les règles Sigma publiées par des ingénieurs compétents en chasse aux menaces de SOC Prime and Nattatorn Chuensangarun – un auteur de contenu de détection professionnel contribuant à notre programme Threat Bounty :
Chaînes Powershell suspectes (via cmdline)
Les règles sont alignées avec la dernière version du cadre MITRE ATT&CK® v.10, abordant les tactiques d’exfiltration, de commande et de contrôle, et d’exécution avec Exfiltration Over Web Service (T1567), Web Service (T1102), et Command and Scripting Interpreter (T1059) comme techniques principales.
Seuls les utilisateurs enregistrés peuvent accéder au contenu de détection publié sur la plateforme SOC Prime. Cliquez sur le bouton Voir sur la plateforme SOC Prime pour accéder aux algorithmes de détection associés aux cybermenaces iraniennes et à plus de 185 000 règles Sigma et YARA maintenant – l’inscription à la plateforme ne prend que quelques clics.
Appuyez sur le bouton Explorer dans le moteur de recherche pour accéder à la collection des règles Sigma les plus demandées, sans inscription ni frais.
Voir sur la plateforme SOC Prime Explorer dans le moteur de recherche
Activité POLONIUM
Au cours des trois derniers mois, un acteur menaçant basé au Liban, appelé POLONIUM, a lancé des attaques contre des organisations israéliennes opérant dans les secteurs financier, de la fabrication critique, de la santé, des transports, des technologies de l’information, de l’alimentation et de l’agriculture. L’activité malveillante a été détectée par Microsoft. Selon le rapport publié le 2 juin 2022, les acteurs de POLONIUM ont abusé du service d’hébergement de fichiers OneDrive pour le commandement et le contrôle (C&C) dans leurs attaques, en déployant également les implants malveillants CreepySnail et CreepyDrive.
Le géant technologique a souligné que ces attaques n’ont pas été permises par des failles de sécurité au sein de la plateforme OneDrive – les hackers se sont simplement inscrits et ont utilisé des comptes légitimes pour abuser du service cloud OneDrive. De plus, selon Microsoft, il n’y a aucune trace que les adversaires aient stocké leurs malwares sur OneDrive.
Les chercheurs de Microsoft spéculent que le point d’accès initial pourrait avoir été une faille dans les appliances VPN de Fortinet (très probablement la vulnérabilité vieille de quatre ans suivie sous l’identifiant CVE-2018-13379). Les hypothèses ont été faites en se basant sur les profils des victimes : la majorité des cibles (environ 80%) utilisaient des produits Fortinet.
Les attaques n’étaient pas liées à d’autres acteurs menaçants basés au Liban ; cependant, les données de recherche suggèrent que l’activité de POLONIUM peut être attribuée au gouvernement iranien.
The La plateforme SOC Prime aide à se défendre contre des solutions de piratage sur mesure plus rapidement et plus efficacement. Testez les capacités de diffusion de contenu du module CCM et aidez votre organisation à renforcer les opérations SOC quotidiennes avec notre riche bibliothèque de règles Sigma pour les cyberdéfenseurs. Ne manquez jamais un battement dans un environnement rapide de risques de cybersécurité et obtenez les meilleures solutions de mitigation avec SOC Prime.
