微软阻止与伊朗有联系的黎巴嫩黑客袭击以色列公司

微软周四表示，已采取措施，禁止因滥用OneDrive而引发的恶意活动，该行为源于之前未经记录的威胁行为人，微软以化学元素为主题的绰号钋追踪该行为。

这家科技巨头的威胁情报中心（MSTIC）除了删除黎巴嫩活动组织创建的违规账户外，还暂停了Polonium and D创建的20多个恶意OneDrive应用程序，并通知了受影响的组织。

观察到的活动与伊朗情报和安全部（MOIS）下属的其他行为者进行了协调，主要基于受害者重叠以及工具和技术的通用性，”MSTIC以“适度的信心”进行评估.

据信，自2022年2月以来，这一对抗性组织已经破坏了20多个总部位于以色列的组织和一个在黎巴嫩开展活动的政府间组织。

利益目标包括制造业、IT、运输、国防、政府、农业、金融和医疗保健部门的实体，其中一家云服务提供商在供应链攻击的情况下，向下游航空公司和律师事务所妥协。

在绝大多数情况下，最初的访问被认为是通过利用Fortinet appliances（CVE-2018-13379）中的路径遍历缺陷获得的，滥用该缺陷来丢弃定制PowerShell植入物，如爬行钉，该植入物建立与指挥控制（C2）服务器的连接以进行后续操作。

该行为人安装的攻击链涉及使用定制工具，利用合法的云服务，如OneDrive和Dropbox C2账户，受害者使用名为ScreeryDrive和ScreeryBox的恶意工具。

研究人员说：“该植入物提供了基本功能，允许威胁行为人上传被盗文件并下载文件运行。”

这不是伊朗威胁行为体第一次利用云服务。2021 10月，Cybereason披露了一个名为MalKamak的组织发动的攻击活动，该组织利用Dropbox进行C2通信，试图保持在雷达之下。

此外，MSTIC指出，多个受钋危害的受害者此前曾被另一个名为MuddyWater（又名Mercury）的伊朗组织作为目标，该组织被美国网络司令部称为MOIS中的“下属单位”。

受害者的重叠证实了早些时候的报道，即MuddyWater是一个由多个团队组成的“企业集团”，其路线为Winnti（中国）和Lazarus Group（朝鲜）。

为了应对此类威胁，建议客户启用多因素身份验证以及审查和审核合作伙伴关系，以最大限度地减少任何不必要的权限。