POLONIUM 감지: 해커 그룹, 마이크로소프트 원드라이브 악용

POLONIUM이라는 이름의 해커 그룹이 Microsoft OneDrive 개인 저장소 서비스를 악용하여 맞춤형 악성 임플란트를 배포하고 공급망 공격을 실행하는 것이 관찰되었습니다. 상대방은 발견되기 전에 20개 이상의 이스라엘 조직을 성공적으로 표적으로 삼았습니다. 공격을 수행한 해커들이 레바논에 기반을 두고 있으며 이란 정보 보안부(MOIS)의 지원을 받았다는 상당한 증거가 있습니다.

POLONIUM 탐지

시스템이 침해되었는지 확인하고 향후 POLONIUM 관련 활동을 방지하기 위해 SOC Prime and 능력 있는 위협 헌팅 엔지니어들이 발표한 Sigma 규칙을 활용하십시오. – 우리의 Threat Bounty Program에 기여하는 전문 탐지 콘텐츠 작성자:

의심스러운 Powershell 문자열 (cmdline 통해)

예측 가능한 OneDrive 파일 경로에 대한 요청으로 인한 POLONIUM 실행 가능성 (프록시 통해)

이 규칙은 Exfiltration, Command and Control, Execution 전술을 다루기 위해 Exfiltration Over Web Service (T1567), Web Service (T1102), Command and Scripting Interpreter (T1059)를 주요 기술로 사용하는 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰져 있습니다.

등록된 사용자만이 SOC Prime Platform에 게시된 탐지 콘텐츠에 액세스할 수 있습니다. 다음을 눌러 SOC Prime 플랫폼에서 보기 이제 이란 사이버 위협 행위자와 관련된 탐지 알고리즘 및 185,000개 이상의 Sigma 및 YARA 규칙에 액세스하십시오 – 플랫폼에 등록하는 데 몇 번의 클릭만 필요합니다.

다음을 누르십시오 검색 엔진으로 드릴 다운 버튼을 눌러 가장 많은 수요가 있는 Sigma 규칙 컬렉션에 액세스하고, 회원 등록 및 수수료 없이 이용하십시오.

SOC Prime 플랫폼에서 보기 검색 엔진으로 드릴 다운

POLONIUM 활동

지난 3개월 동안, POLONIUM이라는 이름의 레바논 기반 위협 행위자가 금융, 중요 제조, 건강, 운송, IT, 식품 및 농업 부문에서 운영하는 이스라엘 조직을 대상으로 공격을 시작했습니다. 이 악의적인 활동은 Microsoft에 의해 탐지되었습니다. 2022년 6월 2일에 발표된 보고서에 따르면 POLONIUM 행위자들은 OneDrive 파일 호스팅 서비스를 C&C(명령 및 제어) 공격에서 악용했으며, CreepySnail 및 CreepyDrive라는 악성 임플란트를 배포했습니다.

이 기술 대기업은 이러한 공격이 OneDrive 플랫폼 내의 보안 허점을 통해 수행된 것이 아니며 해커들이 단순히 합법적인 계정을 등록하여 OneDrive 클라우드 서비스를 남용했다고 강조했습니다. 또한 Microsoft에 따르면, OneDrive에 악성코드가 저장된 흔적은 없습니다.

Microsoft 연구원들은 초기 접근 지점이 Fortinet VPN 장치의 결함(가장 가능성이 높은 것은 CVE-2018-13379로 기록된 4년 된 취약점)일 수 있다고 추측했습니다. 가정은 피해자의 프로필을 기반으로 이루어졌습니다: 대부분의 대상(약 80%)이 Fortinet 제품을 사용하고 있었습니다.

이 공격은 다른 레바논 기반 위협 행위자들과 관련이 없었습니다. 그러나 연구 데이터는 POLONIUM 활동이 이란 정부에 기인할 수 있음을 시사합니다.

The SOC Prime 플랫폼 은 맞춤형 해킹 솔루션에 대한 방어를 더 빠르고 효율적으로 도와줍니다. CCM 모듈의 콘텐츠 스트리밍 기능을 테스트하여 사이버 수호자들을 위한 풍부한 Sigma 규칙 라이브러리와 함께 주간 SOC 운영을 강화하십시오. 사이버 보안 위험의 빠르게 움직이는 환경에서 미세 조정 작업을 놓치지 말고 최고의 완화 솔루션을 확보하십시오. SOC Prime.