Microsoft Blokir Peretas Lebanon Terkait Iran yang Menargetkan Perusahaan Israel

Microsoft

Microsoft pada hari Kamis mengatakan telah mengambil langkah-langkah untuk menonaktifkan aktivitas jahat yang berasal dari penyalahgunaan OneDrive oleh aktor ancaman yang sebelumnya tidak terdokumentasi yang dilacaknya di bawah moniker bertema elemen kimia Polonium.

Selain menghapus akun yang melanggar yang dibuat oleh kelompok aktivitas yang berbasis di Lebanon, Threat Intelligence Center (MSTIC) raksasa teknologi itu mengatakan telah menangguhkan lebih dari 20 aplikasi OneDrive berbahaya yang dibuat dan memberi tahu organisasi yang terpengaruh.

“Aktivitas yang diamati dikoordinasikan dengan aktor lain yang berafiliasi dengan Kementerian Intelijen dan Keamanan Iran (MOIS), terutama berdasarkan pada korban yang tumpang tindih dan kesamaan alat dan teknik,” MSTIC menilai dengan “kepercayaan sedang.”

Keamanan cyber

Kolektif musuh diyakini telah melanggar lebih dari 20 organisasi yang berbasis di Israel dan satu organisasi antar pemerintah yang beroperasi di Lebanon sejak Februari 2022.

Target yang menarik termasuk entitas di sektor manufaktur, TI, transportasi, pertahanan, pemerintah, pertanian, keuangan, dan perawatan kesehatan, dengan satu penyedia layanan cloud dikompromikan untuk menargetkan perusahaan penerbangan hilir dan firma hukum dalam kasus serangan rantai pasokan.

Dalam sebagian besar kasus, akses awal diyakini telah diperoleh dengan mengeksploitasi cacat traversal jalur di peralatan Fortinet (CVE-2018-13379), menyalahgunakannya untuk menjatuhkan implan PowerShell khusus seperti CreepySnail yang membuat koneksi ke perintah-dan -control (C2) server untuk tindakan lanjutan.

Related Post :   Eropa Setuju untuk Mengadopsi Arahan NIS2 Baru yang Ditujukan untuk Memperkuat Keamanan Siber

Rantai serangan yang dipasang oleh aktor tersebut telah melibatkan penggunaan alat khusus yang memanfaatkan layanan cloud yang sah seperti akun OneDrive dan Dropbox untuk C2 dengan korbannya menggunakan alat jahat yang dijuluki CreepyDrive dan CreepyBox.

“Implan menyediakan fungsionalitas dasar yang memungkinkan aktor ancaman untuk mengunggah file yang dicuri dan mengunduh file untuk dijalankan,” kata para peneliti.

Keamanan cyber

Ini bukan pertama kalinya aktor ancaman Iran memanfaatkan layanan cloud. Pada Oktober 2021, Cybereason mengungkapkan kampanye serangan yang dilakukan oleh kelompok bernama MalKamak yang menggunakan Dropbox untuk komunikasi C2 dalam upaya untuk tetap berada di bawah radar.

Selain itu, MSTIC mencatat bahwa banyak korban yang dikompromikan oleh Polonium sebelumnya ditargetkan oleh kelompok Iran lain yang disebut MuddyWater (alias Mercury), yang telah dicirikan oleh Komando Cyber ​​AS sebagai “elemen bawahan” dalam MOIS.

Korban tumpang tindih memberikan kepercayaan pada laporan sebelumnya bahwa MuddyWater adalah “konglomerat” dari beberapa tim di sepanjang garis Winnti (Cina) dan Grup Lazarus (Korea Utara).

Untuk mengatasi ancaman tersebut, pelanggan disarankan untuk mengaktifkan otentikasi multi-faktor serta meninjau dan mengaudit hubungan mitra untuk meminimalkan izin yang tidak perlu.


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.