微軟周四報告稱,已經成功“識別並關閉”了一個此前並未報告過、懷疑和伊朗情報機構合作的黎巴嫩黑客組織。微軟威脅情報中心 (MSTIC) 一直在對黑客組織“Polonium”進行追蹤,在過去 3 個月時間裡該組織破壞了二十多個以色列組織和一個在黎巴嫩開展業務的政府間組織,重點針對關鍵製造業、IT 和以色列的國防工業。
微軟在博文中提及的一個案例中,一家雲服務提供商在遭受供應鏈攻擊之後被用來針對下游航空公司和律師事務所。
它補充說,釙運營商還瞄準了被 MuddyWater APT 組織入侵的多名受害者,微軟將其跟蹤為 Mercury,美國網絡司令部今年早些時候將其與伊朗情報聯繫起來。
此前未知的黑客組織創建了合法的 Microsoft OneDrive 帳戶,然後將這些帳戶用作命令和控制 (C2) 來執行部分攻擊操作。微軟研究人員寫道,觀察到的活動與 OneDrive 中的任何安全問題或漏洞無關。
MSTIC 表示,有很充足的證據表明襲擊背後的組織總部設在黎巴嫩,並補充說,他們“適度”相信 Polonium 正在與伊朗情報和安全部 (MOIS) 合作。
微軟表示:““受害組織的獨特性表明任務要求與 MOIS 的融合。這也可能是‘交接’操作模式的證據,在這種模式下,MOIS 為 Polonium 提供了訪問先前受損的受害者環境以執行新活動的權限”。
微軟表示,它成功暫停了由 Polonium 威脅參與者創建的 20 多個惡意 OneDrive 應用程序。該公司補充說,它還通知了受影響的組織,並部署了一系列安全情報更新,以隔離與伊朗有關的黑客開發的工具。
目前尚不清楚攻擊者是如何獲得對受害者網絡的初始訪問權限的,但微軟指出,大約 80% 的受感染組織都在運行 Fortinet 設備,這“有證據支持,但無法百分百確定” Polonium 通過至少存在 3 年的漏洞(標識為 CVE-2018-13379)來入侵 Fortinet。