Detecção do POLONIUM: Grupo de Hackers Abusa do Microsoft OneDrive
Índice:
Um grupo de hackers identificado como POLONIUM foi observado abusando do serviço de armazenamento pessoal Microsoft OneDrive para descarregar implantes maliciosos personalizados e lançar ataques à cadeia de suprimentos. Os adversários conseguiram atingir mais de 20 organizações israelenses antes de serem descobertos. Há evidências substanciais de que os hackers por trás dos ataques estavam baseados no Líbano e eram apoiados pelo Ministério da Inteligência e Segurança do Irã (MOIS).
Detectar POLONIUM
Para identificar se o seu sistema foi violado e deter atividades futuras relacionadas ao POLONIUM, utilize as regras Sigma liberadas por engenheiros habilidosos de caça a ameaças da SOC Prime and Nattatorn Chuensangarun – um autor de conteúdo de detecção profissional que contribui para o nosso Programa de Recompensa por Ameaças:
Strings de Powershell Suspeitosas (via cmdline)
Possível Execução POLONIUM por Solicitações a Caminhos de Arquivos OneDrive Previsíveis (via proxy)
As regras estão alinhadas com a última versão v.10 do framework MITRE ATT&CK®, abordando as táticas de Exfiltração, Comando e Controle, e Execução com Exfiltração via Serviço Web (T1567), Serviço Web (T1102) e Interpretador de Comandos e Scripts (T1059) como técnicas principais.
Apenas os usuários registrados podem acessar o conteúdo de detecção publicado na Plataforma SOC Prime. Clique no botão Ver na Plataforma SOC Prime para acessar algoritmos de detecção associados a atores de ameaças cibernéticas iranianas e outras 185.000+ regras Sigma e YARA agora – o registro na Plataforma é questão de alguns cliques.
Pressione o botão Pesquisar no Mecanismo de Busca para acessar a coleção das regras Sigma mais procuradas, sem necessidade de registro ou taxa.
Ver na Plataforma SOC Prime Pesquisar no Mecanismo de Busca
Atividade POLONIUM
Ao longo dos últimos três meses, um ator de ameaça baseado no Líbano, chamado POLONIUM, lançou ataques contra organizações israelenses que operam nos setores financeiro, de manufatura crítica, saúde, transporte, TI, alimentos e agricultura. A atividade maliciosa foi detectada por Microsoft. De acordo com o relatório lançado em 2 de junho de 2022, os atores do POLONIUM abusaram do serviço de hospedagem de arquivos OneDrive para comando e controle (C&C) em seus ataques, também implantando implantes maliciosos CreepySnail e CreepyDrive.
O gigante da tecnologia enfatizou que esses ataques não foram possibilitados por falhas de segurança dentro da plataforma OneDrive – os hackers simplesmente se inscreveram e usaram contas legítimas para abusar do serviço de nuvem OneDrive. Além disso, segundo a Microsoft, não há vestígios de adversários armazenando seus malwares no OneDrive.
Pesquisadores da Microsoft especulam que o ponto inicial de acesso poderia ter sido uma falha em aparelhos VPN da Fortinet (mais provavelmente a vulnerabilidade de quatro anos rastreada como CVE-2018-13379). As suposições foram feitas com base nos perfis das vítimas: a maioria dos alvos (cerca de 80%) estava usando produtos Fortinet.
Os ataques não foram vinculados a outros atores de ameaça baseados no Líbano; no entanto, os dados de pesquisa sugerem que a atividade do POLONIUM pode ser atribuída ao governo iraniano.
The A plataforma SOC Prime ajuda a defender contra soluções de hacking sob medida de forma mais rápida e eficiente. Teste as capacidades de streaming de conteúdo do módulo CCM e ajude sua organização a potencializar as operações diárias do SOC com nossa rica biblioteca de regras Sigma para defensores cibernéticos. Nunca perca o ritmo operando em um ambiente de riscos cibernéticos acelerados e obtenha as melhores soluções de mitigação com SOC Prime.
