Site icon Cyberdian, Cabinet de Conseil en Cybersécurité

Microsoft empêche les pirates POLONIUM d’abuser de OneDrive pour voler des données

Récemment, Microsoft a détecté et bloqué une attaque contre OneDrive par un groupe de hackers libanais appelé POLONIUM. Tout en attaquant et en perturbant les organisations israéliennes, ils ont tenté de voler des données sur OneDrive et d’agir comme un centre de commandement et de contrôle.

Microsoft a également suspendu plus de 20 applications OneDrive malveillantes liées à l’attaque POLONIUM. De plus, grâce aux mises à jour des renseignements de sécurité, les organisations cibles ont été informées et les outils des acteurs de la menace ont été mis en quarantaine.

Cible

Au cours des trois derniers mois, plus de 20 organisations israéliennes et une agence intergouvernementale ont été ciblées ou attaquées par POLONIUM. Au fur et à mesure que l’attaque se poursuivait, il est devenu évident que les attaquants ciblaient principalement les types d’infrastructures critiques d’Israël, à savoir :

De plus, les opérateurs de POLONIUM peuvent se coordonner avec plusieurs acteurs menaçants liés à l’Iran pour mener à bien toutes ces tentatives de piratage.

Microsoft a observé des indications selon lesquelles des pirates de Polonium pourraient avoir accédé à des réseaux précédemment compromis par des opérateurs du ministère iranien du renseignement et de la sécurité (MOIS) lors de certaines attaques.

Utilisation de souches de logiciels malveillants et POLONIUM TTP

Le géant de l’informatique affirme qu’aucune vulnérabilité de la plate-forme OneDrive n’a été exploitée par des pirates. Au lieu de cela, ils ont utilisé une variété de logiciels malveillants dans leur attaque, ci-dessous, nous avons mentionné les logiciels malveillants les plus populaires et les plus vulnérables :

Alors que certaines mises à jour étaient disponibles pour les organisations concernées cette semaine, Microsoft a annoncé qu’il mettrait en quarantaine les outils développés par les opérateurs POLONIUM dans le cadre de ses mises à jour de sécurité.

Ci-dessous, nous avons mentionné tous les TTP utilisés par POLONIUM :

Il a été révélé qu’environ 80 % des utilisateurs utilisaient des appareils Fortinet vulnérables à CVE-2018-13379.

Recommandation

L’impact de la technologie utilisée par les participants doit être atténué en utilisant les considérations de sécurité décrites ci-dessous :

Quitter la version mobile