Microsoft dijo el jueves que tom\u00f3 medidas para deshabilitar la actividad maliciosa derivada del abuso de OneDrive por parte de un actor de amenazas previamente indocumentado que rastrea bajo el apodo de elemento qu\u00edmico Polonium.<\/p>\n
Adem\u00e1s de eliminar las cuentas infractoras creadas por el grupo de actividad con sede en el L\u00edbano, el Centro de Inteligencia de Amenazas (MSTIC) del gigante tecnol\u00f3gico dijo que suspendi\u00f3 m\u00e1s de 20 aplicaciones maliciosas de OneDrive creadas y notific\u00f3 a las organizaciones afectadas.<\/p>\n
“La actividad observada se coordin\u00f3 con otros actores afiliados al Ministerio de Inteligencia y Seguridad de Ir\u00e1n (MOIS), bas\u00e1ndose principalmente en la superposici\u00f3n de v\u00edctimas y la similitud de herramientas y t\u00e9cnicas”, MSTIC juzgado<\/a> con “moderada confianza”.<\/p>\n Se cree que el colectivo adversario ha violado m\u00e1s de 20 organizaciones con sede en Israel y una organizaci\u00f3n intergubernamental con operaciones en el L\u00edbano desde febrero de 2022.<\/p>\n Los objetivos de inter\u00e9s incluyeron entidades en los sectores de fabricaci\u00f3n, TI, transporte, defensa, gobierno, agricultura, finanzas y atenci\u00f3n m\u00e9dica, con un proveedor de servicios en la nube comprometido para apuntar a una empresa de aviaci\u00f3n y un bufete de abogados en lo que es un caso de un ataque a la cadena de suministro.<\/p>\n En la gran mayor\u00eda de los casos, se cree que el acceso inicial se obtuvo al explotar una falla de cruce de ruta en los dispositivos de Fortinet (CVE-2018-13379), abusando de ella para eliminar implantes PowerShell personalizados como CreepySnail que establecen conexiones a un comando y -servidor de control (C2) para acciones de seguimiento.<\/p>\n Las cadenas de ataques montadas por el actor han implicado el uso de herramientas personalizadas que aprovechan los servicios leg\u00edtimos en la nube, como las cuentas de OneDrive y Dropbox para C2 con sus v\u00edctimas, utilizando herramientas maliciosas denominadas CreepyDrive y CreepyBox.<\/p>\n “El implante proporciona la funcionalidad b\u00e1sica de permitir que el actor de amenazas cargue archivos robados y descargue archivos para ejecutar”, dijeron los investigadores.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Microsoft-advierte-sobre-los-skimmers-web-que-imitan-Google-Analytics.png\")
<\/a><\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n