微軟上周指出,OneDrive團隊利用微軟威脅情報中心(Microsoft Threat Intelligence Center,MSTIC)所開發的指標與戰術資訊,偵測並封鎖了遭到黎巴嫩駭客集團Polonium所使用的多個OneDrive帳號,也關閉了由Polonium所建立的逾20個OneDrive應用程式,並通知受害的組織,同時強烈懷疑Polonium與伊朗的情報暨安全部(MOIS)聯手攻擊這些位於以色列的受害者。

在過去3個月以來,已有逾20個位於以色列的組織,以及一個位於黎巴嫩境內的跨政府組織遭到Polonium攻擊,受害者主要是重要的製造業、IT服務業者,以及以色列的國防工業,在其中一項攻擊中,Polonium採用供應鏈攻擊,先滲透一家IT服務業者,再攻擊其下游的航太業者與律師事務所。

微軟強調,Polonium主要是利用OneDrive作為攻擊行動的命令暨控制伺服器,以用來執行其它的攻擊任務,OneDrive並沒有任何的安全漏洞,也未被用來代管惡意程式,因為微軟一向會以Microsoft Defender Antivirus偵測與封鎖所有上傳至OneDrive的惡意內容。

此外,微軟認為Polonium與MOIS具備合作關係,證據包括它們所鎖定的受害者大致相同,而且MOIS似乎把先前曾危害的網路移交給Polonium以進行新一輪的攻擊,它們也都同樣利用OneDrive作為命令暨控制平臺,或汲取資料,此外,不管是Polonium或是由MOIS主導的攻擊行動都採用AirVPN。

值得注意的是,在微軟所觀察到的受害者中,大約有80%採用由Fortinet所打造的VPN設備,使得微軟猜測駭客也許是開採了該設備中的CVE-2018-13379漏洞,以作為入侵受害者網路的跳板。CVE-2018-13379是個預先授權的任意檔案讀取漏洞,允許駭客存取FortiOS上所存放的明文密碼,但Fortinet早在2019年就修補了該漏洞,只是去年Fortinet發現,有駭客公布了8.7萬臺FortiGate SSL-VPN裝置的存取帳號與密碼。

這意味著Fortinet用戶不僅應該修補該漏洞,由於不確定密碼是否在修補前就外洩,因此也應變更所使用的密碼。

熱門新聞

Advertisement