Microsoft dijo que bloqueó a un grupo de piratas informáticos con sede en el Líbano que rastrea como Polonium para que no use la plataforma de almacenamiento en la nube OneDrive para la exfiltración de datos y el comando y control mientras ataca y compromete a las organizaciones israelíes.
La compañía también suspendió más de 20 aplicaciones OneDrive maliciosas utilizadas en los ataques de Polonium, notificó a las organizaciones objetivo y puso en cuarentena las herramientas de los actores de amenazas a través de actualizaciones de inteligencia de seguridad.
A lo largo de los ataques que se dirigieron principalmente a los sectores críticos de la industria de fabricación, TI y defensa de Israel desde febrero de 2022, es probable que los operadores de Polonium también hayan coordinado sus intentos de piratería con múltiples actores de amenazas vinculados a Irán, según el análisis de Redmond.
“También evaluamos con confianza moderada que la actividad observada se coordinó con otros actores afiliados al Ministerio de Inteligencia y Seguridad de Irán (MOIS), en función principalmente de la superposición de víctimas y la similitud de herramientas y técnicas”, dijo Microsoft.
“Tal colaboración o dirección de Teherán se alinearía con una serie de revelaciones desde fines de 2020 de que el gobierno de Irán está utilizando a terceros para llevar a cabo operaciones cibernéticas en su nombre, lo que probablemente mejorará la negación plausible de Irán”.
En algunos de los ataques, Microsoft ha observado evidencia que apunta a que los operadores de MOIS posiblemente proporcionen a los piratas informáticos de Polonium acceso a redes violadas anteriormente.
Los operadores de Polonium también han apuntado a múltiples víctimas comprometidas por el grupo MuddyWater APT, rastreado por Microsoft como Mercury y vinculado al Ministerio de Inteligencia y Seguridad de Irán por el Comando Cibernético de EE. UU.
Los actores de amenazas han utilizado varias cepas de malware en sus ataques, como los implantes CreepySnail basados en CreepyDrive y PowerShell para comando y control y robo de datos.
Posible acceso inicial a través de dispositivos Fortinet vulnerables
Microsoft agregó que, para la gran mayoría de las víctimas, el vector de acceso inicial parece ser dispositivos Fortinet FortiOS SSL VPN sin parches vulnerables a exploits CVE-2018-13379 dirigidos a una falla transversal de ruta crítica que permite el robo de credenciales de inicio de sesión.
Esto se produce después de que un pirata informático filtrara las credenciales de casi 50 000 VPN de Fortinet vulnerables en noviembre de 2020, solo unos días después de que se compartiera en línea una lista de exploits de una línea CVE-2018-13379 .
Casi un año después, se filtró nuevamente en línea una lista de casi 500,000 credenciales VPN de Fortinet supuestamente extraídas de dispositivos explotables .
Las agencias de seguridad cibernética de EE. UU., el Reino Unido y Australia advirtieron en noviembre de 2021 sobre varias vulnerabilidades de Fortinet (incluido el cruce de ruta CVE-2018-13379) que están siendo explotadas activamente por un grupo de piratería respaldado por Irán.
«Mientras continuamos buscando la confirmación de cómo POLONIUM obtuvo acceso inicial a muchas de sus víctimas, MSTIC señala que aproximadamente el 80% de las víctimas observadas que visitan graph.microsoft.com estaban ejecutando dispositivos Fortinet», agregó Microsoft .
«Esto sugiere, pero no prueba definitivamente, que POLONIUM comprometió estos dispositivos Fortinet al explotar la vulnerabilidad CVE-2018-13379 para obtener acceso a las organizaciones comprometidas».
Microsoft instó a los clientes a asegurarse de que Microsoft Defender Antivirus use las últimas actualizaciones de inteligencia de seguridad (1.365.40.0 o posterior) y que se aplique la autenticación multifactor (MFA) para toda la conectividad remota para bloquear el abuso de credenciales potencialmente comprometidas.
Fuente: https://www.bleepingcomputer.com
