微软透露针对以色列的 POLONIUM 组织攻击活动
发布时间:2022-06-18 11:08:34 所属栏目:安全 来源:互联网
导读:微软近期发现了一个总部设在黎巴嫩的攻击组织 POLONIUM。根据受害者与攻击工具的分析,微软认为其很有可能是由伊朗情报与安全部(MOIS)下属的攻击者运营的。并且,微软未发现该组织的攻击与过往黎巴嫩相关攻击组织有任何关联。自从 2020 年以来,有消息称
|
微软近期发现了一个总部设在黎巴嫩的攻击组织 POLONIUM。根据受害者与攻击工具的分析,微软认为其很有可能是由伊朗情报与安全部(MOIS)下属的攻击者运营的。并且,微软未发现该组织的攻击与过往黎巴嫩相关攻击组织有任何关联。自从 2020 年以来,有消息称伊朗正在从第三方代理人处开展网络攻击行动,以对抗归因指责。 POLONIUM 攻击的目标很多都是 MERCURY 之前入侵的受害者,美国网络司令部认为 MERCURY 就是 MuddyWater; 在部分受害者处,MOIS 为 POLONIUM 提供了过往攻击使用的访问权限,这可能是一种交接; POLONIUM 与 Lyceum 都使用包括 OneDrive 在内的云服务进行数据泄露、命令控制; POLONIUM 与 CopyKittens 都使用 AirVPN。 滥用云服务 POLONIUM 利用云服务进行命令和控制以及数据泄露,微软在攻击中发现 POLONIUM 滥用 OneDrive 和 Dropbox。相关恶意软件被检测为: Trojan:PowerShell/CreepyDrive.A!dha Trojan:PowerShell/CreepyDrive.B!dha Trojan:PowerShell/CreepyDrive.C!dha Trojan:PowerShell/CreepyDrive.D!dha Trojan:PowerShell/CreepyDrive.E!dha Trojan:MSIL/CreepyBox.A!dha Trojan:MSIL/CreepyBox.B!dha Trojan:MSIL/CreepyBox.C!dha 尽管 OneDrive 会对所有上传的文件进行扫描,但 POLONIUM 并未使用 OneDrive 存储恶意软件,只是与合法用户相同的方式与云服务进行交互。 (1) Upload 响应中为 Upload 时,触发该分支。还需要包含两个信息:要上传的本地文件路径、攻击者自定义的远程文件名。请求结构为:ttps://graph.microsoft.com/v1.0/me/drive/root:/Uploaded/???:/content。 (2) Execute 未响应任何指令时,将进入该分支。响应中可以包含要执行的命令数组或先前下载文件的文件路径。攻击者也可以使用单命令与文件路径的组合。  (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号