微软最近发现了一个位于黎巴嫩的攻击组织POLONIUM。根据对受害者和攻击工具的分析,微软认为它很可能是由伊朗情报和安全部(MOIS)下属的攻击者操作的。此外,微软并未发现该组织的袭击与此前黎巴嫩相关的攻击组织有任何联系。自2020年以来,有报道称伊朗正在通过第三方代理进行网络攻击行动,以反击归因指控。在过去的三个月里,POLONIUM组织袭击了超过两打以色列组织和一个在黎巴嫩运作的政府间伙伴关系。该攻击利用合法的云服务(OneDrive)与受害者进行C&C通信。攻击自2022年2月以来,POLONIUM主要针对以色列的制造业、信息技术和国防工业。在一个案例中,POLONIUM被发现入侵了一家IT公司,并用它来进行供应链攻击,目标是下游航空公司和律师事务所。该组织针对的几家制造公司也为以色列国防部门服务。这符合伊朗攻击组织的攻击倾向。现在攻击者越来越倾向于针对服务商进行攻击,获取下游访问权限。归因微软对POLONIUM的评估具有中等置信度POLONIUM由伊朗情报和安全部(MOIS)运营:POLONIUM攻击的许多目标都是之前MERCURY入侵的受害者,美国网络司令部认为MERCURY是MuddyWater;在一些受害者中,MOIS向POLONIUM提供了之前攻击中使用的访问权限,这可能是一种移交;POLONIUM和Lyceum都使用包括OneDrive在内的云服务来进行数据泄露、命令和控制;POLONIUM和CopyKittens都使用AirVPN。滥用云服务POLONIUM利用云服务进行命令控制和数据泄露,微软发现POLONIUM在攻击中滥用了OneDrive和Dropbox。检测到的相关恶意软件为:Trojan:PowerShell/CreepyDrive.A!dhaTrojan:PowerShell/CreepyDrive.B!dhaTrojan:PowerShell/CreepyDrive.C!dhaTrojan:PowerShell/CreepyDrive.D!dhaTrojan:PowerShell/CreepyDrive.E!dhaTrojan:MSIL/CreepyBox.A!dhaTrojan:MSIL/CreepyBox.B!dhaTrojan:MSIL/CreepyBox.C!dha虽然OneDrive会扫描所有上传的文件,但POLONIUM并没有使用OneDrive来存储恶意软件,只是像合法用户一样与云服务进行交互。CreepyDriveCreepyDrive使用OneDrive进行C&C通信,样本具有上传和下载文件的基本功能。对CreepyDrive的所有请求都使用Invoke-WebRequestcmdlet。一旦运行,这个示例将继续工作。但是,此示例不包含持久性机制。如果它被终止,攻击者需要手动重新启动它。CreepyDrive缺少受害者标识符,研究人员推测不同的样本可能被用于不同的目标,对应于不同的OneDrive帐户。获取OAuth令牌攻击者在样本中内置了一个刷新令牌,它是OAuth2规范的一部分,允许在新的OAuth令牌过期后发布。在这种情况下,与OneDrive帐户相关的保护设置完全由威胁者控制。通过https://login.microsoftonline.com/consumers/oauth2/v2.0/token请求生成OAuthToken。此请求是为恶意样本提供必要的OAuthToken以与OneDrive进行交互。使用此OAuth令牌,您可以从MicrosoftGraphAPI请求(https://graph.microsoft.com/v1.0/me/drive/root:/Documents/data.txt:/content)以访问data.txt文件.data.txt文件表示恶意程序要执行的任务,主要是三个分支。(1)当Upload响应为Upload时,触发该分支。还需要包含两条信息:待上传的本地文件路径,以及攻击者自定义的远程文件名。请求结构为:ttps://graph.microsoft.com/v1.0/me/drive/root:/Uploaded/???:/content。(2)当Download响应为Download时,触发该分支。通过OneDrive下载文件,请求结构为:https://graph.microsoft.com/v1.0/me/drive/root:/Downloaded/???:/content。(3)当Execute没有响应任何命令时,就会进入该分支。响应可以包含要执行的命令数组或先前下载文件的文件路径。攻击者还可以使用单个命令和文件路径的组合。数组中的每个值都作为参数单独传递给以下自定义函数,该函数使用Invoke-Expressioncmdlet运行命令:自定义函数收集每个命令执行的结果并将其发送到OneDrive上的以下位置:https://graph.microsoft.com/v1.0/me/drive/root:/Documents/response.json:/content。在执行过程中,攻击者可以使用https://graph.microsoft.com/v1.0/me/drive/root:/Documents/data.txt:/content请求重置原始文件data.txt中的内容。最后,CreepyDrive进入休眠状态,休眠结束后重新执行。CreepySnailPOLONIUM组使用检测为Backdoor:PowerShell/CreepySnail.B!dha的自定义PowerShell程序。发现的CreepySnail的C&C服务器为:135.125.147.170:80185.244.129.79:63047185.244.129.79:8045.80.149.108:6304745.80.149.108:8045.80.149.57:6304745.80.149.68:6304下面的代码显示了CreepySnailPowerShell程序如何使用窃取的凭证验证并连接到C&C服务器。CreepySnailPowerShell代码实用程序POLONIUM通过OneDrive下载了一个帮助程序链接,OneDrive是一种常见的自动化交互式SSH工具。攻击者使用它在受感染主机和攻击基础设施之间创建冗余隧道。观察到的plink隧道的C&C地址:185.244.129.109172.96.188.5151.83.246.73供应链攻击POLONIUM黑掉以色列一家云服务商,利用服务商的访问权限黑掉下游客户,黑掉以色列一家律师事务所和一家航空公司公司。利用IT产品和服务提供商危害下游客户仍然是伊朗攻击者的最爱。
