微軟近期發(fā)現(xiàn)了一個(gè)總部設(shè)在黎巴嫩的攻擊組織 POLONIUM。根據(jù)受害者與攻擊工具的分析，微軟認(rèn)為其很有可能是由伊朗情報(bào)與安全部（MOIS）下屬的攻擊者運(yùn)營(yíng)的。并且，微軟未發(fā)現(xiàn)該組織的攻擊與過(guò)往黎巴嫩相關(guān)攻擊組織有任何關(guān)聯(lián)。自從 2020 年以來(lái)，有消息稱伊朗正在從第三方代理人處開展網(wǎng)絡(luò)攻擊行動(dòng)，以對(duì)抗歸因指責(zé)。

在過(guò)去的三個(gè)月中，POLONIUM 組織已經(jīng)攻擊了二十余個(gè)以色列組織與一個(gè)在黎巴嫩開展業(yè)務(wù)的政府間合作組織。該攻擊利用合法云服務(wù)（OneDrive）與受害者進(jìn)行 C&C 通信。

攻擊活動(dòng)

自 2022 年 2 月以來(lái)，POLONIUM 主要針對(duì)以色列的制造業(yè)、信息技術(shù)行業(yè)和國(guó)防行業(yè)發(fā)起攻擊。在一個(gè)案例中，發(fā)現(xiàn) POLONIUM 將一個(gè) IT 公司攻陷后利用其進(jìn)行供應(yīng)鏈攻擊，攻擊下游航空公司與律師事務(wù)所。該組織攻擊的多個(gè)制造業(yè)公司也都是為以色列國(guó)防部門服務(wù)的。

這很符合伊朗攻擊組織的攻擊傾向，現(xiàn)在攻擊者越來(lái)越傾向于瞄準(zhǔn)服務(wù)提供商進(jìn)行攻擊，獲取下游訪問(wèn)權(quán)限。

歸因

微軟以中等信心評(píng)估 POLONIUM 組織由伊朗情報(bào)和安全部（MOIS）負(fù)責(zé)運(yùn)營(yíng)：

• POLONIUM 攻擊的目標(biāo)很多都是 MERCURY 之前入侵的受害者，美國(guó)網(wǎng)絡(luò)司令部認(rèn)為 MERCURY 就是 MuddyWater；
• 在部分受害者處，MOIS 為 POLONIUM 提供了過(guò)往攻擊使用的訪問(wèn)權(quán)限，這可能是一種交接；
• POLONIUM 與 Lyceum 都使用包括 OneDrive 在內(nèi)的云服務(wù)進(jìn)行數(shù)據(jù)泄露、命令控制；
• POLONIUM 與 CopyKittens 都使用 AirVPN。

濫用云服務(wù)

POLONIUM 利用云服務(wù)進(jìn)行命令和控制以及數(shù)據(jù)泄露，微軟在攻擊中發(fā)現(xiàn) POLONIUM 濫用 OneDrive 和 Dropbox。相關(guān)惡意軟件被檢測(cè)為：

• Trojan:PowerShell/CreepyDrive.A!dha
• Trojan:PowerShell/CreepyDrive.B!dha
• Trojan:PowerShell/CreepyDrive.C!dha
• Trojan:PowerShell/CreepyDrive.D!dha
• Trojan:PowerShell/CreepyDrive.E!dha
• Trojan:MSIL/CreepyBox.A!dha
• Trojan:MSIL/CreepyBox.B!dha
• Trojan:MSIL/CreepyBox.C!dha

盡管 OneDrive 會(huì)對(duì)所有上傳的文件進(jìn)行掃描，但 POLONIUM 并未使用 OneDrive 存儲(chǔ)惡意軟件，只是與合法用戶相同的方式與云服務(wù)進(jìn)行交互。

CreepyDrive

CreepyDrive 利用 OneDrive 進(jìn)行 C&C 通信，樣本具備上傳下載文件的基本功能。

CreepyDrive 的所有請(qǐng)求都使用 Invoke-WebRequest cmdlet。該樣本一旦運(yùn)行，就會(huì)持續(xù)工作。但該樣本不包含持久化機(jī)制，如果終止就需要攻擊者手動(dòng)重啟。

CreepyDrive 其中缺少受害者標(biāo)識(shí)符，研究人員猜測(cè)可能對(duì)不同的攻擊目標(biāo)使用了不同的樣本，對(duì)應(yīng)不同的 OneDrive 賬戶。

獲取 OAuth 令牌

攻擊者在樣本中內(nèi)置了 Refresh Token，這是 OAuth 2 規(guī)范的一部分，允許在過(guò)期后發(fā)布新的 OAuth Token。這種情況下，與 OneDrive 帳戶相關(guān)的保護(hù)設(shè)置完全由威脅參與者控制。

通過(guò) https://login.microsoftonline.com/consumers/oauth2/v2.0/token請(qǐng)求生成 OAuth Token。

該請(qǐng)求是為惡意樣本提供必要的 OAuth Token，以實(shí)現(xiàn)對(duì) OneDrive 的交互。使用該 OAuth Token 就可以向 Microsoft Graph API 請(qǐng)求（https://graph.microsoft.com/v1.0/me/drive/root:/Documents/data.txt:/content）訪問(wèn) data.txt 文件。

data.txt 文件指示惡意程序要執(zhí)行的任務(wù)，主要是三個(gè)分支。

(1) Upload

響應(yīng)中為 Upload 時(shí)，觸發(fā)該分支。還需要包含兩個(gè)信息：要上傳的本地文件路徑、攻擊者自定義的遠(yuǎn)程文件名。請(qǐng)求結(jié)構(gòu)為：ttps://graph.microsoft.com/v1.0/me/drive/root:/Uploaded/???:/content。

(2) Download

響應(yīng)中為 Download 時(shí)，觸發(fā)該分支。通過(guò) OneDrive 下載文件，請(qǐng)求結(jié)構(gòu)為：https://graph.microsoft.com/v1.0/me/drive/root:/Downloaded/???:/content。

(3) Execute

未響應(yīng)任何指令時(shí)，將進(jìn)入該分支。響應(yīng)中可以包含要執(zhí)行的命令數(shù)組或先前下載文件的文件路徑。攻擊者也可以使用單命令與文件路徑的組合。

數(shù)組中的每個(gè)值都單獨(dú)作為參數(shù)傳遞給以下自定義函數(shù)，該函數(shù)使用 Invoke-Expression cmdlet 運(yùn)行命令：

自定義函數(shù)

每個(gè)命令的執(zhí)行結(jié)果都會(huì)收集起來(lái)，發(fā)送到 OneDrive 上的以下位置：https://graph.microsoft.com/v1.0/me/drive/root:/Documents/response.json:/content。

執(zhí)行期間，攻擊者可以使用 https://graph.microsoft.com/v1.0/me/drive/root:/Documents/data.txt:/content請(qǐng)求重置原始文件 data.txt 中的內(nèi)容。

最后，CreepyDrive 進(jìn)入休眠，休眠結(jié)束后重新執(zhí)行。

CreepySnail

POLONIUM 組織使用了一個(gè)被檢測(cè)為 Backdoor:PowerShell/CreepySnail.B!dha的自定義 PowerShell 程序。發(fā)現(xiàn)的 CreepySnail 的 C&C 服務(wù)器為：

• 135.125.147.170:80
• 185.244.129.79:63047
• 185.244.129.79:80
• 45.80.149.108:63047
• 45.80.149.108:80
• 45.80.149.57:63047
• 45.80.149.68:6304

下面的代碼顯示了 CreepySnail PowerShell 程序如何使用竊取的憑證進(jìn)行身份驗(yàn)證并連接到 C&C 服務(wù)器。

CreepySnail PowerShell 代碼

公共工具的使用

POLONIUM 通過(guò) OneDrive 下載了一個(gè)輔助程序 plink，這是一種常見的自動(dòng)化交互式 SSH 工具。攻擊者使用其在失陷主機(jī)與攻擊基礎(chǔ)設(shè)施間創(chuàng)建冗余隧道。觀察到的用于 plink 隧道的 C&C 地址：

• 185.244.129.109
• 172.96.188.51
• 51.83 .246 .73

供應(yīng)鏈攻擊

POLONIUM 入侵了一家位于以色列的云服務(wù)提供商，使用服務(wù)商的訪問(wèn)權(quán)限來(lái)入侵下游客戶，又入侵了以色列一家律師事務(wù)所和一家航空公司。利用 IT 產(chǎn)品和服務(wù)提供商入侵下游客戶，仍然是伊朗攻擊者的最愛(ài)。