POLONIUM Group

POLONIUM Group

🅃🄷🅁🄴🄰🅃 🄸🄽🅃🄴🄻🄻🄸🄶🄴🄽🄲🄴-𝙋𝙊𝙇𝙊𝙉𝙄𝙐𝙈

𝙋𝙊𝙇𝙊𝙉𝙄𝙐𝙈, le groupe est soutenu par l’Iran et son service de renseignements, le Vevak (confiance modérée). Ils seraient basés au Liban.

Ils sont à l’origine des attaques contre plus de 20 organisations israéliennes de défense, d’informatique et d’infrastructures critiques.

𝗩𝗶𝗰𝘁𝗶𝗺𝗲

  • Secteur issu des industries critiques de la fabrication,
  • Secteur de l’informatique,
  • Secteur des transports,
  • Secteur de l’alimentation,
  • Secteur de la finance,
  • Secteur de la santé,
  • Secteur de la défense

𝗩𝗶𝗰𝘁𝗶𝗺𝗲 𝗴𝗲𝗼𝗴𝗿𝗮𝗽𝗵𝗶𝗲

Israël

𝗧𝗲𝗰𝗵𝗻𝗶𝗾𝘂𝗲

➡️ Attaque de la chaîne d’approvisionnement

➡️ Déploiement d’outils uniques qui abusent des services cloud légitimes pour le commandement et le contrôle.

𝗧𝗧𝗣

➡️Ciblage commun d’une seule victime

➡️Preuve d’éventuelles opérations de « transfert »

➡️Utilisation de OneDrive pour C2

➡️Utiliser AirVPN

𝗢𝘂𝘁𝗶𝗹𝘀

➡️ CreepyDrive et CreepySnail

➡️D’autres implants basés sur PowerShell

𝗔𝗰𝘁𝘂𝗮𝗹𝗶𝘁𝗲 

Microsoft a détecté et désactivé (plus de 20 applications) avec succès une activité d’attaque abusant de OneDrive. Aucune vulnérabilité de la plate-forme OneDrive n’a été exploitée par des pirates.

  • Le gouvernement Iranien utilise des tiers pour mener des cyberopérations en leur nom.
  • POLONIUM cible plusieurs organisations qui étaient auparavant compromises par MuddyWater APT (alias MERCURY ) lié à l’Iran.
  • La cybercriminalité Iranienne fait parler d’elle ces derniers temps.

▶️En 2019, Microsoft 99 sites Web iraniens utilisés pour voler des informations confidentielles et lancer des cyberattaques ont été saisis

▶️En octobre 2021, Microsoft révélait que plusieurs entreprises de technologie de défense américaines et israéliennes avaient été la cible de pirate Iranien. Plus de 250 comptes Microsoft Office 365 liés aux États-Unis, à l’UE et au gouvernement israélien ont été piratés grâce à une pulvérisation intensive de mots de passe.

𝗜𝗼𝗖𝘀- [ https://www.microsoft.com/security/blog/2022/06/02/exposing-polonium-activity-and-infrastructure-targeting-israeli-organizations/ ]