微軟近期發現了一個總部設在黎巴嫩的攻擊組織 POLONIUM。根據受害者與攻擊工具的分析,微軟認為其很有可能是由伊朗情報與安全部(MOIS)下屬的攻擊者運營的。並且,微軟未發現該組織的攻擊與過往黎巴嫩相關攻擊組織有任何關聯。自從 2020 年以來,有消息稱伊朗正在從第三方代理人處開展網絡攻擊行動,以對抗歸因指責。
在過去的三個月中,POLONIUM 組織已經攻擊了二十餘個以色列組織與一個在黎巴嫩開展業務的政府間合作組織。該攻擊利用合法雲服務(OneDrive)與受害者進行 C&C 通信。
攻擊活動
自 2022 年 2 月以來,POLONIUM 主要針對以色列的製造業、信息技術行業和國防行業發起攻擊。在一個案例中,發現 POLONIUM 將一個 IT 公司攻陷後利用其進行供應鏈攻擊,攻擊下游航空公司與律師事務所。該組織攻擊的多個製造業公司也都是為以色列國防部門服務的。
這很符合伊朗攻擊組織的攻擊傾向,現在攻擊者越來越傾向於瞄準服務提供商進行攻擊,獲取下游訪問權限。
歸因
微軟以中等信心評估 POLONIUM 組織由伊朗情報和安全部(MOIS)負責運營:
POLONIUM 攻擊的目標很多都是 MERCURY 之前入侵的受害者,美國網絡司令部認為 MERCURY 就是 MuddyWater
在部分受害者處,MOIS 為 POLONIUM 提供了過往攻擊使用的訪問權限,這可能是一種交接
POLONIUM 與 Lyceum 都使用包括 OneDrive 在內的雲服務進行數據泄露、命令控制
POLONIUM 與 CopyKittens 都使用 AirVPN
濫用雲服務
POLONIUM 利用雲服務進行命令和控制以及數據泄露,微軟在攻擊中發現 POLONIUM 濫用 OneDrive 和 Dropbox。相關惡意軟件被檢測為:
Trojan:PowerShell/CreepyDrive.A!dha
Trojan:PowerShell/CreepyDrive.B!dha
Trojan:PowerShell/CreepyDrive.C!dha
Trojan:PowerShell/CreepyDrive.D!dha
Trojan:PowerShell/CreepyDrive.E!dha
Trojan:MSIL/CreepyBox.A!dha
Trojan:MSIL/CreepyBox.B!dha
Trojan:MSIL/CreepyBox.C!dha
儘管 OneDrive 會對所有上傳的文件進行掃描,但 POLONIUM 並未使用 OneDrive 存儲惡意軟件,只是與合法用戶相同的方式與雲服務進行交互。
CreepyDrive
CreepyDrive 利用 OneDrive 進行 C&C 通信,樣本具備上傳下載文件的基本功能。
CreepyDrive 的所有請求都使用 Invoke-WebRequest cmdlet。該樣本一旦運行,就會持續工作。但該樣本不包含持久化機制,如果終止就需要攻擊者手動重啟。
CreepyDrive 其中缺少受害者標識符,研究人員猜測可能對不同的攻擊目標使用了不同的樣本,對應不同的 OneDrive 賬戶。
獲取 OAuth 令牌
攻擊者在樣本中內置了 Refresh Token,這是 OAuth 2 規範的一部分,允許在過期後發布新的 OAuth Token。這種情況下,與 OneDrive 帳戶相關的保護設置完全由威脅參與者控制。
通過https://login.microsoftonline.com/consumers/oauth2/v2.0/token請求生成 OAuth Token。
該請求是為惡意樣本提供必要的 OAuth Token,以實現對 OneDrive 的交互。使用該 OAuth Token 就可以向 Microsoft Graph API 請求(https://graph.microsoft.com/v1.0/me/drive/root:/Documents/data.txt:/content)訪問 data.txt 文件。
data.txt 文件指示惡意程序要執行的任務,主要是三個分支。
Upload
響應中為 Upload 時,觸發該分支。還需要包含兩個信息:要上傳的本地文件路徑、攻擊者自定義的遠程文件名。請求結構為:https://graph.microsoft.com/v1.0/me/drive/root:/Uploaded/???:/content。
Download
響應中為 Download 時,觸發該分支。通過 OneDrive 下載文件,請求結構為https://graph.microsoft.com/v1.0/me/drive/root:/Downloaded/???:/content。
Execute
未響應任何指令時,將進入該分支。響應中可以包含要執行的命令數組或先前下載文件的文件路徑。攻擊者也可以使用單命令與文件路徑的組合。
數組中的每個值都單獨作為參數傳遞給以下自定義函數,該函數使用 Invoke-Expression cmdlet 運行命令:
△自定義函數
每個命令的執行結果都會收集起來,發送到 OneDrive 上的以下位置:https://graph.microsoft.com/v1.0/me/drive/root:/Documents/response.json:/content。
執行期間,攻擊者可以使用https://graph.microsoft.com/v1.0/me/drive/root:/Documents/data.txt:/content請求重置原始文件 data.txt 中的內容。
最後,CreepyDrive 進入休眠,休眠結束後重新執行。
CreepySnail
POLONIUM 組織使用了一個被檢測為Backdoor:PowerShell/CreepySnail.B!dha的自定義 PowerShell 程序。發現的 CreepySnail 的 C&C 服務器為:
135.125.147.170:80
185.244.129.79:63047
185.244.129.79:80
45.80.149.108:63047
45.80.149.108:80
45.80.149.57:63047
45.80.149.68:63047
45.80.149.71:80
下面的代碼顯示了 CreepySnail PowerShell 程序如何使用竊取的憑證進行身份驗證並連接到 C&C 服務器。
△CreepySnail PowerShell 代碼公共工具的使用
POLONIUM 通過 OneDrive 下載了一個輔助程序 plink,這是一種常見的自動化交互式 SSH 工具。攻擊者使用其在失陷主機與攻擊基礎設施間創建冗餘隧道。觀察到的用於 plink 隧道的 C&C 地址:
185.244.129.109
172.96.188.51
51.83 .246 .73
供應鏈攻擊
POLONIUM 入侵了一家位於以色列的雲服務提供商,使用服務商的訪問權限來入侵下遊客戶,又入侵了以色列一家律師事務所和一家航空公司。利用 IT 產品和服務提供商入侵下遊客戶,仍然是伊朗攻擊者的最愛。
參考來源
https://www.microsoft.com/security/blog/2022/06/02/exposing-polonium-activity-and-infrastructure-targeting-israeli-organizations/
精彩推薦
留言列表