Microsoft dijo el jueves que tomó medidas para deshabilitar la actividad maliciosa derivada del abuso de OneDrive por parte de un actor de amenazas previamente indocumentado que rastrea bajo el apodo de elemento químico Polonium.
Además de eliminar las cuentas infractoras creadas por el grupo de actividad con sede en el Líbano, el Centro de Inteligencia de Amenazas (MSTIC) del gigante tecnológico dijo que suspendió más de 20 aplicaciones maliciosas de OneDrive creadas y notificó a las organizaciones afectadas.
“La actividad observada se coordinó con otros actores afiliados al Ministerio de Inteligencia y Seguridad de Irán (MOIS), basándose principalmente en la superposición de víctimas y la similitud de herramientas y técnicas”, evaluó MSTIC con “confianza moderada”.
Se cree que el colectivo adversario ha violado más de 20 organizaciones con sede en Israel y una organización intergubernamental con operaciones en el Líbano desde febrero de 2022.
Los objetivos de interés incluyeron entidades en los sectores de fabricación, TI, transporte, defensa, gobierno, agricultura, finanzas y atención médica, con un proveedor de servicios en la nube comprometido para apuntar a una empresa de aviación y un bufete de abogados en lo que es un caso de ataque a la cadena de suministro.
En la gran mayoría de los casos, se cree que el acceso inicial se obtuvo al explotar una falla transversal de ruta en los dispositivos de Fortinet ( CVE-2018-13379 ), abusando de ella para eliminar implantes PowerShell personalizados como CreepySnail que establecen conexiones a un comando y -servidor de control (C2) para acciones de seguimiento.
Las cadenas de ataques montadas por el actor han implicado el uso de herramientas personalizadas que aprovechan los servicios legítimos en la nube, como las cuentas de OneDrive y Dropbox para C2 con sus víctimas, utilizando herramientas maliciosas denominadas CreepyDrive y CreepyBox.
«El implante proporciona la funcionalidad básica de permitir que el actor de amenazas cargue archivos robados y descargue archivos para ejecutar», dijeron los investigadores.
Esta no es la primera vez que los actores de amenazas iraníes aprovechan los servicios en la nube. En octubre de 2021, Cybereason reveló una campaña de ataque organizada por un grupo llamado MalKamak que usó Dropbox para comunicaciones C2 en un intento por pasar desapercibido.
Además, MSTIC señaló que varias víctimas que se vieron comprometidas por Polonium fueron previamente atacadas por otro grupo iraní llamado MuddyWater (también conocido como Mercury), que ha sido caracterizado por el Comando Cibernético de EE. UU. como un «elemento subordinado» dentro de MOIS.
Las superposiciones de víctimas dan crédito a informes anteriores de que MuddyWater es un » conglomerado » de múltiples equipos como Winnti (China) y Lazarus Group (Corea del Norte).
Para contrarrestar tales amenazas, se recomienda a los clientes que habiliten la autenticación de múltiples factores, así como que revisen y auditen las relaciones con los socios para minimizar los permisos innecesarios.