Rilevamento di POLONIUM: il Gruppo Hacker Sfrutta Microsoft OneDrive
Indice:
È stato osservato che un gruppo di hacker chiamato POLONIUM ha abusato del servizio di archiviazione personale Microsoft OneDrive per distribuire impianti malevoli personalizzati e lanciare attacchi alla catena di approvvigionamento. Gli avversari sono riusciti a prendere di mira più di 20 organizzazioni israeliane prima di essere scoperti. Esistono prove sostanziali che gli hacker dietro gli attacchi fossero basati in Libano e fossero supportati dal Ministero dell’Intelligence e della Sicurezza iraniano (MOIS).
Rileva POLONIUM
Per identificare se il tuo sistema è stato violato e prevenire futuri attività legate a POLONIUM, utilizza le regole Sigma rilasciate da esperti cacciatori di minacce di SOC Prime and Nattatorn Chuensangarun – un autore di contenuti di rilevamento professionale che contribuisce al nostro programma Threat Bounty:
Stringhe Powershell sospette (via cmdline)
Le regole sono allineate con il framework MITRE ATT&CK® v.10 aggiornato che affronta le tattiche di Esfiltrazione, Comando e Controllo, ed Esecuzione con Esfiltrazione tramite Servizi Web (T1567), Web Service (T1102) e Interprete di Comandi e Script (T1059) come tecniche principali.
Solo gli utenti registrati possono accedere ai contenuti di rilevamento pubblicati sulla piattaforma SOC Prime. Premi il pulsante Visualizza nella piattaforma SOC Prime per accedere agli algoritmi di rilevamento associati agli attori di minacce informatiche iraniane e ad altre 185.000+ regole Sigma e YARA ora – la registrazione alla piattaforma richiede pochi clic.
Premi il pulsante Trivella il motore di ricerca per accedere alla raccolta delle regole Sigma più richieste, senza registrazione né costi.
Visualizza nella piattaforma SOC Prime Trivella il motore di ricerca
Attività POLONIUM
Nel corso degli ultimi tre mesi, un attore di minacce con base in Libano, soprannominato POLONIUM, ha lanciato attacchi contro organizzazioni israeliane che operano nei settori finanziario, manifatturiero critico, sanitario, dei trasporti, IT, alimentare e agricolo. L’attività malevola è stata rilevata da Microsoft. Secondo il rapporto pubblicato il 2 giugno 2022, gli attori di POLONIUM hanno abusato del servizio di hosting di file OneDrive per comando e controllo (C&C) nei loro attacchi, distribuendo anche impianti malevoli come CreepySnail e CreepyDrive.
Il gigante tecnologico ha sottolineato che quegli attacchi non sono stati resi possibili grazie a falle di sicurezza all’interno della piattaforma OneDrive – gli hacker si sono semplicemente iscritti e hanno utilizzato account legittimi per abusare del servizio cloud OneDrive. Inoltre, secondo Microsoft, non ci sono tracce di avversari che memorizzano il loro malware su OneDrive.
I ricercatori di Microsoft ipotizzano che il punto di accesso iniziale potrebbe essere stato un difetto nei dispositivi Fortinet VPN (molto probabilmente la vulnerabilità tracciata come CVE-2018-13379 risalente a quattro anni fa). Le supposizioni sono state fatte basandosi sui profili delle vittime: la maggior parte dei bersagli (circa l’80%) utilizzava prodotti Fortinet.
Gli attacchi non erano collegati ad altri attori di minacce basati in Libano; tuttavia, i dati di ricerca suggeriscono che l’attività di POLONIUM possa essere attribuita al governo iraniano.
The La piattaforma SOC Prime aiuta a difendersi da soluzioni di hacking su misura in modo più rapido ed efficiente. Prova le capacità di streaming di contenuti del modulo CCM e aiuta la tua organizzazione a potenziare le operazioni SOC quotidiane con la nostra ricca libreria di regole Sigma per i difensori informatici. Non saltare un battito operando in un ambiente rapido di rischi per la sicurezza informatica e ottieni le migliori soluzioni di mitigazione con SOC Prime.
