Компания заблокировала более 20 вредоносных приложений OneDrive, используемых Polonium в своих атаках.
https://www.securitylab.ru/upload/ib...3fe12a53e.jpeg
Microsoft закрыл а ливанской хакерской группировке Polonium возможность использовать облачное хранилище OneDrive для похищения данных у израильских организаций.
Компания также заблокировала более 20 вредоносных приложений OneDrive, используемых Polonium в своих атаках, предупредила о них атакованные организации и добавила вредоносные инструменты хакеров в карантин с помощью обновлений безопасности.
Как сообщает Microsoft, с февраля нынешнего года Polonium атакует преимущественно израильские производственные, IT- и оборонные предприятия. Судя по всему, хакеры координируют свои атаки с разными иранскими группировками. К примеру, жертвами Polonium становились организации, ранее уже взломанные APT-группой MuddyWater, отслеживаемой Microsoft как Mercury и связываемой Киберкомандованием США с Министерством информации и национальной безопасности Ирана.
В большинстве случаев злоумышленники использовали в качестве точки входа в атакуемые сети устройства Fortinet FortiOS SSL VPN с неисправленной уязвимостью CVE-2018-13379 .
"Пока мы продолжаем искать подтверждение того, как Polonium получила первоначальный доступ ко многим своим жертвам, MSTIC (Центр сбора информации об угрозах Microsoft - ред.) отмечает, что примерно 80% наблюдаемых жертв, отправившихся на graph.microsoft.com, использовали устройства Fortinet. На основе этого можно предположить, но не обязательно утверждать, что Polonium, скомпрометировала эти устройства Fortinet путем эксплуатации уязвимости CVE-2018-13379 с целью получения доступа к скомпрометированным организациям", - сообщила Microsoft.
Microsoft настоятельно рекомендует пользователям установить для Защитника Microsoft последние обновления (1.365.40.0 или более поздние) и включить многофакторную аутентификацию для всех удаленных соединений, чтобы заблокировать возможное использование хакерами скомпрометированных учетных данных.