مسدودسازی شبکه هکرهای لبنانی مرتبط با ایران و مهاجم به اسرائیل توسط مایکروسافت
اخبار داغ فناوری اطلاعات و امنیت شبکه
مایکروسافت روز پنجشنبه ادعا کرد اقداماتی را برای غیرفعال کردن فعالیتهای مخرب ناشی از سواستفاده از OneDrive توسط یک عامل تهدید که قبلاً شناسایی نشده بود، انجام داده است که تحت نام پولونیوم (Polonium) با مضمون عنصر شیمیایی فعالیت میکند.
علاوه بر حذف حسابهای متخلف ایجاد شده توسط گروه فعال مستقر در لبنان، مرکز اطلاعات تهدیدات این غول فناوری (MSTIC) اعلام کرد که بیش از ۲۰ برنامه مخرب OneDrive ایجاد شده توسط Polonium را به حالت تعلیق درآورده و به سازمانهای آسیبدیده اطلاع داده است.
مجموعه MSTIC با سطح «اطمینان متوسط» ارزیابی کرد: «فعالیت مشاهدهشده با سایر عاملان وابسته به وزارت اطلاعات و امنیت ایران (MOIS)، عمدتاً بر اساس همپوشانی قربانیان و اشتراک ابزارها و تکنیکها، هماهنگ و منطبق شده است».
اعتقاد بر این است که این گروه ادعا شده از فوریه ۲۰۲۲ به بیش از ۲۰ سازمان مستقر در اسرائیل و یک سازمان بین دولتی از طریق عملیات در لبنان حمله کرده است.
اهداف مورد نظر شامل نهادهایی در بخشهای تولید، فناوری اطلاعات، حملونقل، دفاعی، دولت، کشاورزی، مالی و مراقبتهای بهداشتی، یک ارائهدهنده خدمات ابری برای هدف قرار دادن یک شرکت هواپیمایی پاییندستی و شرکت حقوقی که در اصل یک حمله زنجیره تأمین بوده، میشده است.
در اکثریت قریب به اتفاق موارد، اعتقاد بر این است که دسترسی اولیه با استفاده از نقص پیمایش مسیر در دستگاههای فورتینت (CVE-۲۰۱۸-۱۳۳۷۹)، با سواستفاده از آن برای مستقر کردن ایمپلنتهای سفارشی PowerShell مانند CreepySnail که اتصالات را به یک سرور command-and-control (C2) برای اقدامات بعدی برقرار میکند، به دست آمده است.
زنجیرههای حمله نصبشده توسط عامل سایبری شامل استفاده از ابزارهای سفارشی است که از سرویسهای ابری قانونی مانند حسابهای OneDrive و Dropbox برای C2 به قربانیانش با استفاده از ابزارهای مخرب به نامهای CreepyDrive و CreepyBox استفاده میکنند.
محققان میگویند: «ایمپلنت عملکردی بنیادی را فراهم میکند که به عامل تهدید اجازه میدهد فایلهای دزدیده شده را آپلود کند و فایلها را برای اجرا دانلود کند».
طبق این ادعا، این اولین بار نیست که عوامل تهدیدکننده ایرانی از خدمات ابری بهره میبرند. در اکتبر ۲۰۲۱، Cybereason یک کمپین حمله را فاش کرد که توسط گروهی به نام MalKamak ترتیب داده شده بود که از Dropbox برای ارتباطات C2 در تلاش برای درامان ماندن از هرگونه شناسایی استفاده میکرد.
علاوه بر این، MSTIC اشاره کرد که چندین قربانی که توسط پولونیوم در معرض خطر قرار گرفتهاند، قبلاً توسط گروه ایرانی دیگری به نام MuddyWater (معروف به مرکوری) مورد هدف قرار گرفتهاند که توسط فرماندهی سایبری ایالات متحده به عنوان یک "عنصر تابع" در MOIS توصیف شده است.
همپوشانی قربانی به گزارشهای قبلی، مبنی بر اینکه MuddyWater مجموعهای از تیمهای متعدد در امتداد خطوط Winnti (چین) و Lazarus Group (کره شمالی) است، اعتبار میبخشد.
در این گزارش آورده شده است که برای مقابله با چنین تهدیداتی، به کاربران توصیه میشود که احراز هویت چند عاملی و همچنین بررسی و حسابرسی روابط پارنتر را فعال کنند تا هرگونه پرمیشن غیر ضروری را به حداقل برسانند.
برچسب ها: CreepyBox, CreepyDrive, سرویس ابری, CreepySnail, Lebenon, لبنان, وزارت اطلاعات و امنیت, پولونیوم, Polonium, C2, MOIS, OneDrive, MuddyWater, MSTIC, Dropbox, MalKamak, Winnti, Iran, PowerShell, cybersecurity, Microsoft, ایران, israel, اسرائیل, Lazarus Group, Cyber Security, مایکروسافت, امنیت سایبری, Cyber Attacks, حمله سایبری