Microsoft a déclaré jeudi qu’il avait pris des mesures pour désactiver les activités malveillantes résultant de l’abus de OneDrive par un acteur malveillant auparavant non documenté qu’il suit sous le nom de Polonium sur le thème des éléments chimiques.
En plus de supprimer les comptes incriminés créés par le groupe d’activités basé au Liban, le Threat Intelligence Center (MSTIC) du géant de la technologie a déclaré avoir suspendu plus de 20 applications OneDrive malveillantes créées et avoir notifié les organisations concernées.
« L’activité observée a été coordonnée avec d’autres acteurs affiliés au ministère iranien du renseignement et de la sécurité (Vevak), sur la base principalement du chevauchement des victimes et de la communauté des outils et des techniques », a déclaré le MSTIC. évalué avec une « confiance modérée ».
Le collectif contradictoire aurait violé plus de 20 organisations basées en Israël et une organisation intergouvernementale opérant au Liban depuis février 2022.
Les cibles d’intérêt comprenaient des entités des secteurs de la fabrication, de l’informatique, des transports, de la défense, du gouvernement, de l’agriculture, de la finance et de la santé, avec un fournisseur de services cloud compromis pour cibler une compagnie d’aviation et un cabinet d’avocats en aval dans ce qui est un cas d’attaque de la chaîne d’approvisionnement.
Dans la grande majorité des cas, on pense que l’accès initial a été obtenu en exploitant une faille de traversée de chemin dans les appliances Fortinet (CVE-2018-13379), en en abusant pour supprimer des implants PowerShell personnalisés comme CreepySnail qui établissent des connexions à une commande et -serveur de contrôle (C2) pour les actions de suivi.
Les chaînes d’attaque montées par l’acteur ont impliqué l’utilisation d’outils personnalisés qui exploitent des services cloud légitimes tels que les comptes OneDrive et Dropbox pour C2 en utilisant des outils malveillants appelés CreepyDrive et CreepyBox avec ses victimes.
« L’implant fournit une fonctionnalité de base permettant à l’acteur de la menace de télécharger des fichiers volés et de télécharger des fichiers à exécuter », ont déclaré les chercheurs.
Ce n’est pas la première fois que des acteurs iraniens de la menace profitent des services cloud. En octobre 2021, Cybereason a révélé une campagne d’attaque organisée par un groupe appelé MalKamak qui a utilisé Dropbox pour les communications C2 dans le but de rester sous le radar.
En outre, le MSTIC a noté que plusieurs victimes compromises par le polonium étaient auparavant ciblées par un autre groupe iranien appelé MuddyWater (alias Mercury), qui a été caractérisé par le US Cyber Command comme un « élément subordonné » au sein du MOIS.
Les chevauchements de victimes donnent du crédit aux rapports antérieurs selon lesquels MuddyWater est un « conglomérat » de plusieurs équipes sur le modèle de Winnti (Chine) et du Groupe Lazarus (Corée du Nord).
Pour contrer ces menaces, il est conseillé aux clients d’activer l’authentification multifacteur ainsi que d’examiner et d’auditer les relations avec les partenaires afin de minimiser les autorisations inutiles.