一个黎巴嫩黑客组织被微软“识别并阻止”

近日，微软发布了一篇研究报告，声称成功检测到一个此前未记录的黎巴嫩组织（微软称之为POLONIUM），并通过采取措施来达到针对以色列机构的网络攻击活动的目的。

报告上写道，近三个月以来，POLONIUM以20多个以色列组织和一个在黎巴嫩开展业务的政府机构为目标进行破坏活动，这些攻击主要针对以色列关键制造业、国防工业和IT行业。

微软认为POLONIUM是一个设在黎巴嫩的黑客集团，并怀疑其与伊朗情报和安全部（MOIS）下属组织有一定关系，得出这个猜测主要是以受害者的重叠以及工具和技术的共性原因。

并且微软表示这与其自2020年底以来的一系列揭露相一致，即伊朗政府正在利用第三方开展网络行动。

在攻击链中通过使用自定义工具利用合法的云服务进行命令和控制工具来达到数巨泄露的目的，微软观察到植入物连接到OneDrive和Dropbox中的由POLONIUM拥有的帐户。

通过对攻击的数据进行分析得出的结论，大约80%的情况下，初始访问是通过利用Fortinet设备中的路径遍历漏洞（CVE-2018-13379）获取的，随后攻击者使用自定义PowerShell植入物，如CreepySnail，通过这些植入物建立与命令和控制（C2）服务器的连接以进行后续操作。

微软通过观察到POLONIUM在攻击活动中滥用OneDriver后，随即停了POLONIUM创建的20多个恶意OneDrive应用程序，接着通知了受影响的组织，并部署了一系列安全情报更新，来研究隔离POLONIUM运营商开发的工具。