鑽石舞台

因其受害者有重疊以及工具和技術的共同性, MSTIC科技部認為POLONIUM正在與隸屬於伊朗情報和安全部(MOIS)的多個威脅組織協調行動。共通之處如下：

(1)相同的目標受害者：MSTIC觀察到POLONIUM的受害者曾被MERCURY作為目標。根據美國網絡司令部的說法——MuddyWater，一個MERCURY組織，"是伊朗情報和安全部的一個下屬單位。"

(2)可能的「交接」行動證據：受害組織的獨特性表明，POLONIUM的任務要求與MOIS大體一致。這也可能是「交接」行動的證據，即MOIS向POLONIUM提供了進入先前被破壞的受害者環境以執行新活動的機會。MSTIC將繼續跟蹤監測這兩個攻擊者以進一步驗證「交接」行動模式的假設。

(3)使用OneDrive進行C2：MSTIC已經觀察到POLONIUM和DEV-0133(又名Lyceum)使用OneDrive雲服務進行數據滲透和指揮與控制。

(4)使用AirVPN：POLONIUM和DEV-0588(又名CopyKittens)通常使用AirVPN進行活動。雖然使用公共VPN服務很常見，但這些組織特別選擇使用AirVPN，加之上述其他重疊情況，進一步支持了對「POLONIUM與MOIS合作」這一猜測的合理程度。

據觀察，POLONIUM已經部署了一系列定製的植入工具，利用雲服務(以OneDrive和Dropbox為主)進行指揮和控制以及數據滲出。這些工具被檢測為以下惡意軟件：

Trojan:PowerShell/CreepyDrive.A!dha

Trojan:PowerShell/CreepyDrive.B!dha

Trojan:PowerShell/CreepyDrive.C!dha

Trojan:PowerShell/CreepyDrive.D!dha

Trojan:PowerShell/CreepyDrive.E!dha

Trojan:MSIL/CreepyBox.A!dha

Trojan:MSIL/CreepyBox.B!dha

Trojan:MSIL/CreepyBox.C!dha

雖然OneDrive對所有上傳的內容進行了反病毒掃描，但POLONIUM沒有使用雲服務來託管他們的惡意軟件。如果惡意軟件被託管在OneDrive賬戶中，微軟反病毒軟件的檢測會進行攔截。然而，POLONIUM以合法客戶的方式與雲服務進行互動。目前，OneDrive正與MSTIC合作，識別並禁用與已知攻擊有關的賬戶。

CreepyDrive利用POLONIUM擁有的OneDrive存儲賬戶進行指揮和控制。該植入工具提供的基本功能是允許攻擊者上傳被盜文件和下載文件。

CreepyDrive的所有網絡請求都使用Invoke-WebRequest cmdlet。該工具的主要功能被寫入一個while true循環中，確保工具一旦運行就會持續執行。該工具不包含本地持久性機制，如果被終止，它需要由攻擊者重新執行。

由於CreepyDrive中缺少受害者的識別信息，對多個受害者使用相同的OneDrive賬戶是有可能的，但這一做法很不常見且有風險，因此MSTIC認為每個植入工具使用的是不同的被控制的OneDrive賬戶。

獲取OAuth令牌

運行時，植入工具首先需要對OneDrive進行認證。攻擊者在植入工具中加入了一個刷新令牌。刷新令牌是Open Authorization 2(OAuth)的一部分，允許在OAuth令牌過期時發行新的令牌。

在這種情況下，與OneDrive賬戶綁定的保護設置完全由攻擊者控制，允許他們禁用防止竊取令牌和客戶隱私的保護措施。由於攻擊者完全控制了與賬戶相關的所有隱私和關鍵材料，他們的登錄活動看起來像合法的客戶行為，因此很難被發現。

該令牌和客戶隱私在請求正文中被傳送到一個合法的Microsoft終端以生成OAuth token:

https[://]login.microsoftonline.com/consumers/oauth2/v2.0/token

該請求為植入工具提供了必要的OAuth令牌，以便與攻擊者擁有的OneDrive賬戶進行通信。植入工具使用該OAuth令牌向以下Microsoft Graph API終端發出請求，以訪問文件data.txt:

https[://]graph.microsoft.com/v1.0/me/drive/root:/Documents/data.txt:/content

data.txt文件作為植入工具的主要任務載體，提供了以下三個執行分支：

(1)上傳：第一個分支在響應中出現「upload」時被觸發。響應有效載荷還包含兩個額外的參數：一個是要上傳的本地文件路徑，另一個是攻擊者定義的遠程文件名，以便將本地文件上傳。該請求的結構如下：

https[://]graph.microsoft.com/v1.0/me/drive/root:/Uploaded/???:/content

(2)下載：第二個分支在響應中出現 「download」時被觸發。響應有效載荷包含一個文件名，用於從攻擊者的OneDrive賬戶下載。該請求的結構如下：

https[://]graph.microsoft.com/v1.0/me/drive/root:/Downloaded/???:/content

(3)執行：當響應中沒有提供命令時，該分支被觸發。響應的有效載荷可以包含要執行的命令數組，也可以是植入工具先前下載的文件的路徑。攻擊者也可以提供單個命令和文件路徑的混合參數。

數組中的每個值都被單獨傳遞到下面的自定義函數中，該函數使用Invoke-Expression cmdlet來運行命令：

每條執行命令的輸出都會被匯總，然後寫回攻擊者擁有的OneDrive賬戶的以下位置：

https[://]graph.microsoft.com/v1.0/me/drive/root:/Documents/response.json:/content

在執行這一機制的過程中，攻擊者用以下請求重置了原始任務文件data.txt的內容：

https[://]graph.microsoft.com/v1.0/me/drive/root:/Documents/data.txt:/content

最後，CreepyDrive進入休眠狀態，在一個循環中重新執行，直到進程終止。

POLONIUM也被觀察到部署了一個自定義的PowerShell植入工具Backdoor:PowerShell/CreepySnail.B!dha。觀察到的CreepySnail植入工具的C2包括：

135[.]125[.]147[.]170:80

185[.]244[.]129[.]79:63047

185[.]244[.]129[.]79:80

45[.]80[.]149[.]108:63047

45[.]80[.]149[.]108:80

45[.]80[.]149[.]57:63047

45[.]80[.]149[.]68:63047

45[.]80[.]149[.]71:80

下面的代碼演示了CreepySnail PowerShell植入工具一旦部署在目標網絡上，就會嘗試使用竊取的憑證進行驗證，並連接到POLONIUM C2，以便對目標採取進一步行動，例如數據滲出或作為C2進一步濫用：

據觀察，POLONIUM還通過他們的OneDrive植入工具投放了一個二級有效載荷。POLONIUM使用了一種常見的SSH工具用於自動交互式登錄，稱為plink，以建立一個從受害者環境到攻擊者控制的基礎設施的備用通道。

185[.]244[.]129 [.]109

172[.]96[.]188[.]51

51[.]83 [.]246 [.]73

以上三個C2 IP地址為觀察到的POLONIUM plink通道。

MSTIC注意到，在觀察到的向 graph.microsoft.com 發送信標的受害者中，大約 80% 正在運行 Fortinet 設備。這表明 POLONIUM很有可能通過利用CVE-2018-13379漏洞入侵這些Fortinet設備，以獲得對被入侵組織的訪問權限。

在一個案例中，POLONIUM入侵了一家位於以色列的雲服務提供商，並可能利用這一權限入侵了該服務提供商的下遊客戶。具體而言，POLONIUM通過該服務提供商獲得了進入以色列一家律師事務所和一家航空公司的機會。利用IT產品和服務提供商來獲取下遊客戶的權限的策略是伊朗攻擊者及其代理人最擅長的。微軟將繼續監測來自POLONIUM和其他伊朗MOIS附屬組織的持續活動。

(1)使用IOC來檢測惡意軟件是否存在於用戶的環境中，並評估潛在的入侵風險。

(2)阻止來自IOC表中指定的IP的入站流量。

(3)審查遠程訪問(VPN)的所有認證活動，特別關注配置有單因素認證的賬戶，以確認真實性並調查任何異常活動。

(4)啟用多因素認證(MFA)以減輕憑證可能受到的損害，並確保MFA在所有遠程連接中得到執行。

(5)對於與服務提供商有關係的用戶要同時審查合作夥伴，儘量解除組織和上游供應商之間的任何不必要的權限。