Microsoft blockiert mit dem Iran verbundene libanesische Hacker, die israelische Unternehmen angreifen

  • Microsoft sagte am Donnerstag, dass es Schritte unternommen hat, um bösartige Aktivitäten zu deaktivieren, die aus dem Missbrauch von OneDrive durch einen bisher nicht dokumentierten Bedrohungsakteur stammen, den es unter dem Namen Polonium, einem chemischen Element, verfolgt.

    Neben der Entfernung der von der im Libanon ansässigen Gruppe erstellten Konten hat das Threat Intelligence Center (MSTIC) des Tech-Giganten nach eigenen Angaben mehr als 20 bösartige OneDrive-Anwendungen gesperrt und die betroffenen Unternehmen informiert.

    „Die beobachteten Aktivitäten wurden mit anderen Akteuren koordiniert, die mit dem iranischen Ministerium für Intelligenz und Sicherheit (MOIS) verbunden sind, vor allem aufgrund von Überschneidungen bei den Opfern und Gemeinsamkeiten bei den Werkzeugen und Techniken“, so die Einschätzung von MSTIC.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjaBbYTALewJvxPx8cnzv0FMFvygJ4ym5US2q-Uxw_N9KSMl8z0Z7pPOeXOEHgnJ9u00oLe7QZR55XMcwv60hQ_dIuT9MTSCTeu-C3cUe-RgpBF3_hTmoXh7ESgmtUaVloM9dS5jXLtkOLVeYSBrepZsVYuf3lxIAlCR4TsZhB-hFm_HGHwjkDsk9teXQ/s1600/Jira-ads.png]

    Es wird vermutet, dass das feindliche Kollektiv seit Februar 2022 in mehr als 20 Organisationen mit Sitz in Israel und eine zwischenstaatliche Organisation mit Aktivitäten im Libanon eingedrungen ist.

    Zu den Angriffszielen gehörten Unternehmen aus den Bereichen Fertigung, IT, Transport, Verteidigung, Regierung, Landwirtschaft, Finanzen und Gesundheitswesen, wobei ein Cloud-Service-Provider kompromittiert wurde, um ein nachgelagertes Luftfahrtunternehmen und eine Anwaltskanzlei anzugreifen, was einem Angriff auf die Lieferkette gleichkommt.

    In der überwiegenden Mehrheit der Fälle wird davon ausgegangen, dass der anfängliche Zugang durch Ausnutzung einer Path-Traversal-Schwachstelle in Fortinet-Appliances (CVE-2018-13379) erlangt wurde, die dazu missbraucht wurde, benutzerdefinierte PowerShell-Implantate wie CreepySnail abzulegen, die Verbindungen zu einem Command-and-Control-Server (C2) für Folgeaktionen herstellen.

    Bei den von dem Akteur durchgeführten Angriffsketten wurden benutzerdefinierte Tools verwendet, die legitime Cloud-Dienste wie OneDrive- und Dropbox-Konten für C2 nutzen, indem bösartige Tools mit den Bezeichnungen CreepyDrive und CreepyBox bei den Opfern eingesetzt wurden.

    „Das Implantat bietet grundlegende Funktionen, die es dem Bedrohungsakteur ermöglichen, gestohlene Dateien hochzuladen und Dateien herunterzuladen“, so die Forscher.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Dies ist nicht das erste Mal, dass sich iranische Bedrohungsakteure Cloud-Dienste zunutze machen. Im Oktober 2021 deckte Cybereason eine Angriffskampagne einer Gruppe namens MalKamak auf, die Dropbox für C2-Kommunikation nutzte, um unter dem Radar zu bleiben.

    Darüber hinaus stellte MSTIC fest, dass mehrere Opfer, die von Polonium kompromittiert wurden, zuvor von einer anderen iranischen Gruppe namens MuddyWater (auch bekannt als Mercury) angegriffen wurden, die vom U.S. Cyber Command als ein „untergeordnetes Element“ innerhalb des MOIS bezeichnet wurde.

    Die Überschneidungen bei den Opfern untermauern frühere Berichte, wonach MuddyWater ein „Konglomerat“ aus mehreren Teams nach dem Vorbild von Winnti (China) und der Lazarus-Gruppe (Nordkorea) ist.

    Um solchen Bedrohungen entgegenzuwirken, wird den Kunden empfohlen, eine Multi-Faktor-Authentifizierung zu aktivieren sowie die Partnerbeziehungen zu überprüfen und zu kontrollieren, um unnötige Berechtigungen zu minimieren.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com