POLONIUM検出: ハッカーグループがMicrosoft OneDriveを悪用

POLONIUMと名付けられたハッカーグループが、Microsoft OneDrive個人ストレージサービスを悪用して、カスタムマルウェアインプラントをドロップし、サプライチェーン攻撃を開始することが観察されています。攻撃者は、発見される前に20以上のイスラエルの組織を標的にすることに成功しました。攻撃背後のハッカーがレバノンに拠点を置き、イランの情報安全保障省（MOIS）によって支援されていたという十分な証拠があります。

POLONIUMを検出

あなたのシステムが侵害されたかどうかを特定し、今後のPOLONIUM関連の活動を阻止するために、熟練した脅威狩猟エンジニアによってリリースされたSigmaルールを活用してください。 SOC Prime and Nattatorn Chuensangarun – 私たちの脅威報奨プログラムに貢献するプロの検知コンテンツ作成者：

疑わしいPowershell文字列（cmdline経由）

予測可能なOneDriveファイルパスへの要求による可能性のあるPOLONIUM実行（プロキシ経由）

これらのルールは、最新のMITRE ATT&CK®フレームワークv.10に対応しており、主にエクスフィルトレーション、指令と制御、実行の戦術を扱い、Webサービスによるエクスフィルトレーション（T1567）、Webサービス（T1102）、およびコマンドとスクリプトインタープリター（T1059）が主な技術としている。

登録済みユーザーのみがSOC Primeプラットフォームで公開されている検知コンテンツにアクセスできます。「 SOC Primeプラットフォームで表示 」ボタンを押し、イランのサイバー脅威アクターに関連する検知アルゴリズムやその他の185,000以上のSigmaとYARAルールに今すぐアクセスしてください。プラットフォームへの登録は数クリックで完了します。

「 検索エンジンにドリルダウン 」ボタンを押すと、最も需要のあるSigmaルールのコレクションにアクセスできます。登録料や手数料は不要です。

SOC Primeプラットフォームで表示 検索エンジンにドリルダウン

POLONIUM活動

過去3ヶ月間、レバノンに拠点を置く脅威アクターPOLONIUMは、金融、重要な製造、健康、輸送、IT、食品および農業部門で活動するイスラエルの組織に対して攻撃を開始しました。この悪意のある活動は Microsoftによって検出されました。2022年6月2日に発表された報告によると、POLONIUMアクターは彼らの攻撃において指令と制御（C&C）のためにOneDriveファイルホスティングサービスを悪用し、CreepySnailおよびCreepyDriveといった悪意のあるインプラントを展開しました。

テクノロジー大手は、これらの攻撃がOneDriveプラットフォーム内のセキュリティホールによって引き起こされたのではないことを強調しました。ハッカーは単にサインアップし、正当なアカウントを使用してOneDriveクラウドサービスを悪用しました。また、Microsoftによると、OneDriveに悪意のあるソフトウェアを保存している証拠はありません。

Microsoft研究者は、最初のアクセスポイントがFortinet VPNデバイスにおける欠陥（おそらくCVE-2018-13379として追跡されている4年前の脆弱性）だった可能性があると推測しています。この仮説は、被害者のプロフィールに基づいています。対象の約80%がFortinet製品を使用していました。

この攻撃は他のレバノンに拠点を置く脅威アクターと結びつけられていませんが、研究データは、POLONIUM活動がイラン政府に起因する可能性があることを示唆しています。

The SOC Primeプラットフォーム は、特定のハッキングソリューションに対する防御を迅速かつ効率的に行うのに役立ちます。CCMモジュールのコンテンツストリーミング能力をテストし、サイバー防衛者のためのSigmaルールの豊富なライブラリを活用して、日常のSOC運用を強化しましょう。サイバーセキュリティリスクの激動の環境で見逃しがちな最適な緩和策を手に入れましょう。 SOC Prime.