Microsoft blockiert mit dem Iran verbundene libanesische Hacker, die israelische Unternehmen angreifen

Microsoft teilte am Donnerstag mit, dass es Schritte unternommen hat, um bösartige Aktivitäten zu deaktivieren, die auf den Missbrauch von OneDrive durch einen bisher nicht dokumentierten Angreifer zurückzuführen sind, der unter dem Namen Polonium, einem chemischen Element, bekannt ist.

Das Threat Intelligence Center (MSTIC) des Technologiekonzerns hat nicht nur die von der im Libanon ansässigen Gruppe erstellten Konten entfernt, sondern auch über 20 von Polonium erstellte bösartige OneDrive-Anwendungen gesperrt und die betroffenen Unternehmen informiert.

Die beobachteten Aktivitäten wurden mit anderen Beteiligten koordiniert, die mit dem iranischen Ministerium für Intelligenz und Sicherheit (MOIS) verbunden sind, vor allem aufgrund von Überschneidungen bei den Opfern und Gemeinsamkeiten bei den Tools und Techniken

Es wird vermutet, dass das gegnerische Netzwerk seit Februar 2022 in mehr als 20 Organisationen mit Sitz in Israel und eine zwischenstaatliche Organisation im Libanon eingedrungen ist.

Zu den Angriffszielen gehörten Unternehmen aus den Bereichen Fertigung, IT, Transport, Verteidigung, Regierung, Landwirtschaft, Finanzen und Gesundheitswesen, wobei ein Cloud-Service-Provider kompromittiert wurde, um ein nachgelagertes Luftfahrtunternehmen und eine Anwaltskanzlei anzugreifen.

In der überwiegenden Mehrheit der Fälle wird davon ausgegangen, dass der anfängliche Zugang durch Ausnutzung einer Sicherheitslücke in Fortinet-Appliances (CVE-2018-13379) erlangt wurde, die dazu missbraucht wurde, benutzerdefinierte PowerShell-Importe wie CreepySnail abzulegen, die Verbindungen zu einem Command-and-Control-Server (C2) für Folgeaktivitäten aufbauen.

Bei den von dem Angreifer durchgeführten Angriffssequenzen wurden benutzerdefinierte Tools verwendet, die legitime Cloud-Dienste wie OneDrive- und Dropbox-Konten für die C2-Verbindung mit den Opfern nutzen, wobei bösartige Tools mit den Bezeichnungen CreepyDrive und CreepyBox zum Einsatz kamen.

Das Importieren bietet grundlegende Funktionen, die es dem Angreifer ermöglichen, gestohlene Dateien hochzuladen und Dateien herunterzuladen.

Dies ist nicht das erste Mal, dass sich iranische Angreifer Cloud-Dienste zunutze machen. Im Oktober 2021 deckte Cybereason eine Angriffskampagne einer Gruppe namens MalKamak auf, die Dropbox für die C2-Kommunikation nutzte, um unter dem Radar zu bleiben.

Darüber hinaus stellte MSTIC fest, dass mehrere Opfer, die von Polonium kompromittiert wurden, zuvor von einer anderen iranischen Gruppe namens MuddyWater (auch bekannt als Mercury) angegriffen wurden, die vom U.S. Cyber Command als "untergeordnetes Element" innerhalb von MOIS bezeichnet wurde.

Die Überschneidungen zwischen den Opfern bestätigen frühere Berichte, wonach es sich bei MuddyWater um ein "Konglomerat" aus mehreren Teams nach dem Vorbild von Winnti (China) und der Lazarus-Gruppe (Nordkorea) handelt.

Um solchen Bedrohungen entgegenzuwirken, wird den Kunden empfohlen, eine Multi-Faktor-Authentifizierung zu aktivieren sowie die Partnerbeziehungen zu überprüfen und zu kontrollieren, um unnötige Berechtigungen zu minimieren.