Microsoft|微软报告“识别并关闭”了一个黎巴嫩黑客组织
微软周四报告称,已经成功“识别并关闭”了一个此前并未报告过、怀疑和伊朗情报机构合作的黎巴嫩黑客组织 。微软威胁情报中心 (MSTIC) 一直在对黑客组织“Polonium”进行追踪,在过去 3 个月时间里该组织破坏了二十多个以色列组织和一个在黎巴嫩开展业务的政府间组织,重点针对关键制造业、IT 和以色列的国防工业 。
访问:
微软中国官方商城 - 首页
文章图片
微软在博文中提及的一个案例中,一家云服务提供商在遭受供应链攻击之后被用来针对下游航空公司和律师事务所 。
它补充说,钋运营商还瞄准了被 MuddyWater APT 组织入侵的多名受害者,微软将其跟踪为 Mercury,美国网络司令部今年早些时候将其与伊朗情报联系起来 。
此前未知的黑客组织创建了合法的 Microsoft OneDrive 帐户,然后将这些帐户用作命令和控制 (C2) 来执行部分攻击操作 。微软研究人员写道,观察到的活动与 OneDrive 中的任何安全问题或漏洞无关 。
MSTIC 表示,有很充足的证据表明袭击背后的组织总部设在黎巴嫩,并补充说,他们“适度”相信 Polonium 正在与伊朗情报和安全部 (MOIS) 合作 。
微软表示:““受害组织的独特性表明任务要求与 MOIS 的融合 。这也可能是‘交接’操作模式的证据,在这种模式下,MOIS 为 Polonium 提供了访问先前受损的受害者环境以执行新活动的权限” 。
微软表示,它成功暂停了由 Polonium 威胁参与者创建的 20 多个恶意 OneDrive 应用程序 。该公司补充说,它还通知了受影响的组织,并部署了一系列安全情报更新,以隔离与伊朗有关的黑客开发的工具 。
【Microsoft|微软报告“识别并关闭”了一个黎巴嫩黑客组织】目前尚不清楚攻击者是如何获得对受害者网络的初始访问权限的,但微软指出,大约 80% 的受感染组织都在运行 Fortinet 设备,这“有证据支持,但无法百分百确定” Polonium 通过至少存在 3 年的漏洞(标识为 CVE-2018-13379)来入侵 Fortinet 。
推荐阅读
- Microsoft|微软庆祝2022骄傲月 宣布捐赠活动与充满活力的产品设计
- Microsoft|微软Edge 103进入Beta通道 安全性提高、配置文件切换更好
- Windows|在错过最后期限后 微软将下一版本的Exchange Server推迟到2025年
- Microsoft|微软向Insider推送Edge 103 Beta测试版本 带来两项新功能
- Apple|新报告研究了在App Store中名列前茅所需的下载数量
- Windows|微软向开发频道推送Windows 11 Build 25131测试者预览编译版本
- Microsoft|微软计划接纳工会建议 美国科技行业的雇员正在推动改善工作条件
- Microsoft|微软下调2022财年第四季度业绩预期
- Microsoft|微软Edge 102用户的打印功能大面积失效
- Apple|当零售业被折算在内时苹果员工工资比谷歌或微软少