微軟近期發(fā)現(xiàn)了一個總部設(shè)在黎巴嫩的攻擊組織 POLONIUM。根據(jù)受害者與攻擊工具的分析，微軟認為其很有可能是由伊朗情報與安全部（MOIS）下屬的攻擊者運營的。并且，微軟未發(fā)現(xiàn)該組織的攻擊與過往黎巴嫩相關(guān)攻擊組織有任何關(guān)聯(lián)。自從 2020 年以來，有消息稱伊朗正在從第三方代理人處開展網(wǎng)絡(luò)攻擊行動，以對抗歸因指責(zé)。

在過去的三個月中，POLONIUM 組織已經(jīng)攻擊了二十余個以色列組織與一個在黎巴嫩開展業(yè)務(wù)的政府間合作組織。該攻擊利用合法云服務(wù)（OneDrive）與受害者進行 C&C 通信。

攻擊活動

自 2022 年 2 月以來，POLONIUM 主要針對以色列的制造業(yè)、信息技術(shù)行業(yè)和國防行業(yè)發(fā)起攻擊。在一個案例中，發(fā)現(xiàn) POLONIUM 將一個 IT 公司攻陷后利用其進行供應(yīng)鏈攻擊，攻擊下游航空公司與律師事務(wù)所。該組織攻擊的多個制造業(yè)公司也都是為以色列國防部門服務(wù)的。

這很符合伊朗攻擊組織的攻擊傾向，現(xiàn)在攻擊者越來越傾向于瞄準服務(wù)提供商進行攻擊，獲取下游訪問權(quán)限。

歸因

微軟以中等信心評估 POLONIUM 組織由伊朗情報和安全部（MOIS）負責(zé)運營：

• POLONIUM 攻擊的目標很多都是 MERCURY 之前入侵的受害者，美國網(wǎng)絡(luò)司令部認為 MERCURY 就是 MuddyWater；
• 在部分受害者處，MOIS 為 POLONIUM 提供了過往攻擊使用的訪問權(quán)限，這可能是一種交接；
• POLONIUM 與 Lyceum 都使用包括 OneDrive 在內(nèi)的云服務(wù)進行數(shù)據(jù)泄露、命令控制；
• POLONIUM 與 CopyKittens 都使用 AirVPN。

濫用云服務(wù)

POLONIUM 利用云服務(wù)進行命令和控制以及數(shù)據(jù)泄露，微軟在攻擊中發(fā)現(xiàn) POLONIUM 濫用 OneDrive 和 Dropbox。相關(guān)惡意軟件被檢測為：

• Trojan:PowerShell/CreepyDrive.A!dha
• Trojan:PowerShell/CreepyDrive.B!dha
• Trojan:PowerShell/CreepyDrive.C!dha
• Trojan:PowerShell/CreepyDrive.D!dha
• Trojan:PowerShell/CreepyDrive.E!dha
• Trojan:MSIL/CreepyBox.A!dha
• Trojan:MSIL/CreepyBox.B!dha
• Trojan:MSIL/CreepyBox.C!dha

盡管 OneDrive 會對所有上傳的文件進行掃描，但 POLONIUM 并未使用 OneDrive 存儲惡意軟件，只是與合法用戶相同的方式與云服務(wù)進行交互。

CreepyDrive

CreepyDrive 利用 OneDrive 進行 C&C 通信，樣本具備上傳下載文件的基本功能。

CreepyDrive 的所有請求都使用 Invoke-WebRequest cmdlet。該樣本一旦運行，就會持續(xù)工作。但該樣本不包含持久化機制，如果終止就需要攻擊者手動重啟。

CreepyDrive 其中缺少受害者標識符，研究人員猜測可能對不同的攻擊目標使用了不同的樣本，對應(yīng)不同的 OneDrive 賬戶。

獲取 OAuth 令牌

攻擊者在樣本中內(nèi)置了 Refresh Token，這是 OAuth 2 規(guī)范的一部分，允許在過期后發(fā)布新的 OAuth Token。這種情況下，與 OneDrive 帳戶相關(guān)的保護設(shè)置完全由威脅參與者控制。

通過 https://login.microsoftonline.com/consumers/oauth2/v2.0/token請求生成 OAuth Token。

該請求是為惡意樣本提供必要的 OAuth Token，以實現(xiàn)對 OneDrive 的交互。使用該 OAuth Token 就可以向 Microsoft Graph API 請求（https://graph.microsoft.com/v1.0/me/drive/root:/Documents/data.txt:/content）訪問 data.txt 文件。

data.txt 文件指示惡意程序要執(zhí)行的任務(wù)，主要是三個分支。

(1) Upload

響應(yīng)中為 Upload 時，觸發(fā)該分支。還需要包含兩個信息：要上傳的本地文件路徑、攻擊者自定義的遠程文件名。請求結(jié)構(gòu)為：ttps://graph.microsoft.com/v1.0/me/drive/root:/Uploaded/???:/content。

(2) Download

響應(yīng)中為 Download 時，觸發(fā)該分支。通過 OneDrive 下載文件，請求結(jié)構(gòu)為：https://graph.microsoft.com/v1.0/me/drive/root:/Downloaded/???:/content。

(3) Execute

未響應(yīng)任何指令時，將進入該分支。響應(yīng)中可以包含要執(zhí)行的命令數(shù)組或先前下載文件的文件路徑。攻擊者也可以使用單命令與文件路徑的組合。

數(shù)組中的每個值都單獨作為參數(shù)傳遞給以下自定義函數(shù)，該函數(shù)使用 Invoke-Expression cmdlet 運行命令：

自定義函數(shù)

每個命令的執(zhí)行結(jié)果都會收集起來，發(fā)送到 OneDrive 上的以下位置：https://graph.microsoft.com/v1.0/me/drive/root:/Documents/response.json:/content。

執(zhí)行期間，攻擊者可以使用 https://graph.microsoft.com/v1.0/me/drive/root:/Documents/data.txt:/content請求重置原始文件 data.txt 中的內(nèi)容。

最后，CreepyDrive 進入休眠，休眠結(jié)束后重新執(zhí)行。

CreepySnail

POLONIUM 組織使用了一個被檢測為 Backdoor:PowerShell/CreepySnail.B!dha的自定義 PowerShell 程序。發(fā)現(xiàn)的 CreepySnail 的 C&C 服務(wù)器為：

• 135.125.147.170:80
• 185.244.129.79:63047
• 185.244.129.79:80
• 45.80.149.108:63047
• 45.80.149.108:80
• 45.80.149.57:63047
• 45.80.149.68:6304

下面的代碼顯示了 CreepySnail PowerShell 程序如何使用竊取的憑證進行身份驗證并連接到 C&C 服務(wù)器。

CreepySnail PowerShell 代碼

公共工具的使用

POLONIUM 通過 OneDrive 下載了一個輔助程序 plink，這是一種常見的自動化交互式 SSH 工具。攻擊者使用其在失陷主機與攻擊基礎(chǔ)設(shè)施間創(chuàng)建冗余隧道。觀察到的用于 plink 隧道的 C&C 地址：

• 185.244.129.109
• 172.96.188.51
• 51.83 .246 .73

供應(yīng)鏈攻擊

POLONIUM 入侵了一家位于以色列的云服務(wù)提供商，使用服務(wù)商的訪問權(quán)限來入侵下游客戶，又入侵了以色列一家律師事務(wù)所和一家航空公司。利用 IT 產(chǎn)品和服務(wù)提供商入侵下游客戶，仍然是伊朗攻擊者的最愛。