Microsoft gab am Donnerstag bekannt, dass es Schritte unternommen hat, um bösartige Aktivitäten zu deaktivieren, die auf den Missbrauch von OneDrive durch einen bisher nicht dokumentierten Bedrohungsakteur zurückzuführen sind, den es unter dem Namen Polonium (chemisches Element) verfolgt.
Das Threat Intelligence Center (MSTIC) des Tech-Giganten hat nicht nur die von der im Libanon ansässigen Gruppe erstellten Konten entfernt, sondern auch über 20 bösartige OneDrive-Anwendungen gesperrt und die betroffenen Unternehmen benachrichtigt.
„Die beobachteten Aktivitäten wurden mit anderen Akteuren koordiniert, die mit dem iranischen Ministerium für Intelligenz und Sicherheit (MOIS) verbunden sind, vor allem aufgrund von Überschneidungen bei den Opfern und Gemeinsamkeiten bei den Tools und Techniken“, so die Einschätzung von MSTIC.
Es wird vermutet, dass das gegnerische Kollektiv seit Februar 2022 in mehr als 20 Organisationen mit Sitz in Israel und in eine zwischenstaatliche Organisation mit Sitz im Libanon eingedrungen ist.
Zu den Angriffszielen gehörten Unternehmen aus den Bereichen Produktion, IT, Transport, Verteidigung, Regierung, Landwirtschaft, Finanzwesen und Gesundheitswesen, wobei ein Cloud Service Provider kompromittiert wurde, um ein nachgelagertes Luftfahrtunternehmen und eine Anwaltskanzlei anzugreifen.
In der überwiegenden Mehrheit der Fälle wurde der ursprüngliche Zugang vermutlich durch die Ausnutzung einer Path-Traversal-Schwachstelle in Fortinet-Appliances (CVE-2018-13379) erlangt, die dazu missbraucht wurde, benutzerdefinierte PowerShell-Implantate wie CreepySnail abzulegen, die Verbindungen zu einem Command-and-Control-Server (C2) für Folgeaktionen herstellen.
In den Angriffsketten des Täters wurden benutzerdefinierte Tools verwendet, die legitime Cloud-Dienste wie OneDrive- und Dropbox-Konten für die C2-Verbindung mit den Opfern nutzen und bösartige Tools namens CreepyDrive und CreepyBox einsetzen.
„Das Implantat bietet grundlegende Funktionen, die es dem Bedrohungsakteur ermöglichen, gestohlene Dateien hoch- und herunterzuladen, um sie auszuführen“, so die Forscher.
Es ist nicht das erste Mal, dass iranische Bedrohungsakteure Cloud-Dienste ausnutzen. Im Oktober 2021 deckte Cybereason eine Angriffskampagne einer Gruppe namens MalKamak auf, die Dropbox für C2-Kommunikation nutzte, um unter dem Radar zu bleiben.
Außerdem stellte MSTIC fest, dass mehrere Opfer, die von Polonium kompromittiert wurden, zuvor von einer anderen iranischen Gruppe namens MuddyWater (auch bekannt als Mercury) angegriffen wurden, die vom U.S. Cyber Command als „untergeordnetes Element“ innerhalb des MOIS bezeichnet wurde.
Die Überschneidungen zwischen den Opfern bestätigen frühere Berichte, wonach MuddyWater ein „Konglomerat“ aus mehreren Teams nach dem Vorbild von Winnti (China) und der Lazarus-Gruppe (Nordkorea) ist.
Um solchen Bedrohungen zu begegnen, wird den Kunden empfohlen, eine Multi-Faktor-Authentifizierung zu aktivieren und die Partnerbeziehungen zu überprüfen, um unnötige Berechtigungen zu minimieren.