Microsoft заявила, что заблокировала базирующуюся в Ливане хакерскую группу, которую она отслеживает как Polonium, от использования платформы облачного хранилища OneDrive для кражи данных и командования и контроля при нацеливании и компрометации израильских организаций.
Компания также приостановила работу более 20 вредоносных приложений OneDrive, используемых в атаках Polonium, уведомив целевые организации и поместив инструменты злоумышленников в карантин с помощью обновлений безопасности.
Согласно анализу, во время атак, которые в основном были нацелены на критически важные секторы производства, информационных технологий и оборонной промышленности Израиля с февраля 2022 года, операторы группировки также, вероятно, координировали свои попытки взлома с несколькими субъектами угроз, связанными с Ираном.
«Мы также оцениваем с умеренной уверенностью, что наблюдаемая деятельность была скоординирована с другими субъектами, связанными с Министерством разведки и безопасности Ирана (MOIS), в первую очередь на основе совпадения жертв и общности инструментов и методов», — говорится в сообщении Microsoft.
«Такое сотрудничество или указание из Тегерана будет соответствовать ряду разоблачений с конца 2020 года о том, что правительство Ирана использует третьих лиц для проведения киберопераций от их имени, что, вероятно, усилит отрицание со стороны Ирана».
В ходе некоторых атак Microsoft обнаружила доказательства, указывающие на то, что операторы MOIS, возможно, предоставляли хакерам Polonium доступ к ранее взломанным сетям.
Операторы группировки также нацелились на нескольких жертв, скомпрометированных APT-группой MuddyWater, отслеживаемых Microsoft как Mercury и связанных с министерством разведки и безопасности Ирана киберкомандованием США.
Злоумышленники использовали в своих атаках несколько штаммов вредоносных программ, таких как CreepyDrive и CreepySnail на основе PowerShell для управления и контроля и кражи данных.