微软报告“识别并关闭”了一个黎巴嫩黑客组织

微软周四报告称，已经成功“识别并关闭”了一个此前并未报告过、怀疑和伊朗情报机构合作的黎巴嫩黑客组织。微软威胁情报中心 (MSTIC) 一直在对黑客组织“Polonium”进行追踪，在过去 3 个月时间里该组织破坏了二十多个以色列组织和一个在黎巴嫩开展业务的政府间组织，重点针对关键制造业、IT 和以色列的国防工业。

微软在博文中提及的一个案例中，一家云服务提供商在遭受供应链攻击之后被用来针对下游航空公司和律师事务所。
它补充说，钋运营商还瞄准了被 MuddyWater APT 组织入侵的多名受害者，微软将其跟踪为 Mercury，美国网络司令部今年早些时候将其与伊朗情报联系起来。
此前未知的黑客组织创建了合法的 Microsoft OneDrive 帐户，然后将这些帐户用作命令和控制 (C2) 来执行部分攻击操作。微软研究人员写道，观察到的活动与 OneDrive 中的任何安全问题或漏洞无关。
MSTIC 表示，有很充足的证据表明袭击背后的组织总部设在黎巴嫩，并补充说，他们“适度”相信 Polonium 正在与伊朗情报和安全部 (MOIS) 合作。
微软表示：““受害组织的独特性表明任务要求与 MOIS 的融合。这也可能是‘交接’操作模式的证据，在这种模式下，MOIS 为 Polonium 提供了访问先前受损的受害者环境以执行新活动的权限”。
微软表示，它成功暂停了由 Polonium 威胁参与者创建的 20 多个恶意 OneDrive 应用程序。该公司补充说，它还通知了受影响的组织，并部署了一系列安全情报更新，以隔离与伊朗有关的黑客开发的工具。
目前尚不清楚攻击者是如何获得对受害者网络的初始访问权限的，但微软指出，大约 80% 的受感染组织都在运行 Fortinet 设备，这“有证据支持，但无法百分百确定” Polonium 通过至少存在 3 年的漏洞（标识为 CVE-2018-13379）来入侵 Fortinet。