Microsoft рассказала об атаках ливанских хакеров Polonium на израильские организации

Microsoft закрыл а ливанской хакерской группировке Polonium возможность использовать облачное хранилище OneDrive для похищения данных у израильских организаций.

Компания также заблокировала более 20 вредоносных приложений OneDrive, используемых Polonium в своих атаках, предупредила о них атакованные организации и добавила вредоносные инструменты хакеров в карантин с помощью обновлений безопасности.

Как сообщает Microsoft, с февраля нынешнего года Polonium атакует преимущественно израильские производственные, IT- и оборонные предприятия. Судя по всему, хакеры координируют свои атаки с разными иранскими группировками. К примеру, жертвами Polonium становились организации, ранее уже взломанные APT-группой MuddyWater, отслеживаемой Microsoft как Mercury и связываемой Киберкомандованием США с Министерством информации и национальной безопасности Ирана.

В большинстве случаев злоумышленники использовали в качестве точки входа в атакуемые сети устройства Fortinet FortiOS SSL VPN с неисправленной уязвимостью CVE-2018-13379 .

"Пока мы продолжаем искать подтверждение того, как Polonium получила первоначальный доступ ко многим своим жертвам, MSTIC (Центр сбора информации об угрозах Microsoft - ред.) отмечает, что примерно 80% наблюдаемых жертв, отправившихся на graph.microsoft.com, использовали устройства Fortinet. На основе этого можно предположить, но не обязательно утверждать, что Polonium, скомпрометировала эти устройства Fortinet путем эксплуатации уязвимости CVE-2018-13379 с целью получения доступа к скомпрометированным организациям", - сообщила Microsoft.

Microsoft настоятельно рекомендует пользователям установить для Защитника Microsoft последние обновления (1.365.40.0 или более поздние) и включить многофакторную аутентификацию для всех удаленных соединений, чтобы заблокировать возможное использование хакерами скомпрометированных учетных данных.