مايكروسوفت تمنع قراصنة لبنانيين مرتبطين بإيران يستهدفون شركات إسرائيلية
قالت Microsoft يوم الخميس إنها اتخذت خطوات لتعطيل النشاط الضار الناجم عن إساءة استخدام OneDrive من قبل جهة تهديد غير موثقة سابقًا تتعقبها تحت اسم Polonium الذي يحمل عنوان العنصر الكيميائي.
بالإضافة إلى إزالة الحسابات المخالفة التي أنشأتها مجموعة الأنشطة التي تتخذ من لبنان مقراً لها ، قال مركز معلومات التهديدات العملاق التكنولوجي (MSTIC) إنه علق أكثر من 20 تطبيقًا خبيثًا من OneDrive أنشأته Polonium وأنه أبلغ المنظمات المتضررة.
“تم تنسيق النشاط المرصود مع الجهات الفاعلة الأخرى التابعة لوزارة الاستخبارات والأمن الإيرانية (MOIS) ، بناءً على تداخل الضحية وتوحيد الأدوات والتقنيات” ، تم تقييم MSTIC “بثقة معتدلة”.
يُعتقد أن المجموعة العدائية قد انتهكت أكثر من 20 منظمة مقرها في إسرائيل ومنظمة حكومية دولية واحدة لها عمليات في لبنان منذ فبراير 2022.
تضمنت الأهداف ذات الأهمية كيانات في قطاعات التصنيع وتكنولوجيا المعلومات والنقل والدفاع والحكومة والزراعة والمالية والرعاية الصحية ، مع تعرض أحد مقدمي الخدمات السحابية للخطر لاستهداف شركة طيران وشركة محاماة في حالة هجوم سلسلة التوريد.
في الغالبية العظمى من الحالات ، يُعتقد أنه تم الحصول على الوصول الأولي من خلال استغلال عيب اجتياز المسار في أجهزة Fortinet ( CVE-2018-13379 ) ، وإساءة استخدامه لإسقاط غرسات PowerShell المخصصة مثل CreepySnail التي تنشئ اتصالات بأمر- و -control (C2) Server لإجراءات المتابعة.
تضمنت سلاسل الهجوم التي حملها الممثل استخدام الأدوات المخصصة التي تستفيد من الخدمات السحابية المشروعة مثل حسابات OneDrive و Dropbox لـ C2 مع ضحاياها باستخدام أدوات ضارة يطلق عليها اسم CreepyDrive و CreepyBox.
وقال الباحثون: “الغرسة توفر وظائف أساسية للسماح للممثل التهديد بتحميل الملفات المسروقة وتنزيل الملفات للتشغيل”.
ليست هذه هي المرة الأولى التي يستفيد فيها ممثلو التهديد الإيراني من الخدمات السحابية. في أكتوبر 2021 ، كشف Cybereason عن حملة هجوم شنتها مجموعة تدعى MalKamak والتي استخدمت Dropbox لاتصالات C2 في محاولة للبقاء تحت الرادار.
بالإضافة إلى ذلك ، لاحظت MSTIC أن العديد من الضحايا الذين تعرضوا للاختراق من قبل Polonium قد تم استهدافهم سابقًا من قبل مجموعة إيرانية أخرى تسمى MuddyWater (المعروفة أيضًا باسم Mercury) ، والتي وصفتها القيادة الإلكترونية الأمريكية بأنها “عنصر ثانوي” داخل وزارة الداخلية.
تداخل الضحية يعطي مصداقية للتقارير السابقة التي تفيد بأن MuddyWater هي ” تكتل ” من فرق متعددة على غرار Winnti (الصين) و Lazarus Group (كوريا الشمالية).
لمواجهة مثل هذه التهديدات ، يُنصح العملاء بتمكين المصادقة متعددة العوامل بالإضافة إلى مراجعة علاقات الشركاء ومراجعتها لتقليل أي أذونات غير ضرورية.
إرسال التعليق