27 Июня 2022 08:28 27 Июн 2022 08:28 |

Поделиться

Microsoft пресекла атаки хакеров через OneDrive

«Радиоактивные» приложения OneDrive

Эксперты корпорации Microsoft объявили о том, что успешно остановили атаки ливанской хакерской группировки на организации в Израиле. О группировке, обозначенной как Polonium, раньше ничего не было известно. За последние три месяца она атаковала более 20 израильских организаций, относящихся к критическому производству, информационным технологиям и оборонной отрасли.

Злоумышленники создали более 20 вредоносных приложений для OneDrive, которые использовали для проникновения в инфраструктуру целевых организаций.

«Операторы Polonium использовали уникальные инструменты, которые эксплуатировали функции легитимных облачных сервисов, используемых большинством их жертв, превращая их в контрольные серверы, — говорится в исследовании Microsoft. — Мы наблюдали, как Polonium создает и использует легитимные аккаунты OneDrive в качестве командных серверов при проведении своих атак».

Microsoft остановила атаки на израильские компании через OneDrive

Microsoft заблокировала эти приложения, а также выпустила ряд обновлений, которые в дальнейшем будут блокировать запуск подобных приложений в принципе. Организации, затронутые атаками, получили все необходимые сведения об этом.

Наемники в деле

Эксперты Microsoft полагают, что операторы Polonium действовали в координации с иранскими спецслужбами, в частности, киберподразделениями министерства разведки и безопасности. На это указывают используемые сценарии и выбор жертв. За последние пару лет разные эксперты по безопасности указывали на то, что иранское правительство использует кибернаемников в своих операциях.

Исследование показало, что в 80% случаев жертвы атак использовали сетевые устройства Fortinet. Это может указывать на то, что злоумышленники использовали уязвимость в Fortine Forti OSCVE-2018-13379 — довольно старую критическую уязвимость, позволяющую выходить за пределы назначенного каталога (pathtraversal) и считывать произвольные файлы с устройства.

«Если речь идет действительно об использовании этой уязвимости, значит, пострадавшие компании не отнеслись серьезно к многочисленным предупреждениям об опасности, которую она представляет, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Еще в прошлом году ФБР и CISA публиковали бюллетени о том, что APT-группировки вплотную занялись CVE-2018-13379. Кроме того, сам ее индекс указывает на то, что ее обнаружили четыре года назад. Времени исправить проблему было более чем достаточно».

При этом как минимум в одном случае Polonium произвел успешную атаку через инфраструктуру облачного сервис-провайдера в Израиле, и уже через нее атаковал его клиентов.

Microsoft рекомендует удостовериться в том, что антивирусы обновлены до последних версий, что для удаленных соединений используется двухфакторная авторизация, а также проверить все попытки подключения к VPN-службам.

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка