微软表示，它阻止了一个其追踪为 Polonium 的黎巴嫩黑客组织使用 OneDrive 云存储平台进行数据泄露和指挥和控制，同时瞄准和损害以色列组织。

该公司还暂停了 20 多个用于 Polonium 攻击的恶意 OneDrive 应用程序，通知目标组织并通过安全情报更新隔离威胁参与者的工具。

根据雷德蒙德的分析，自 2022 年 2 月以来，在主要针对以色列关键制造业、IT 和国防工业部门的攻击中，Polonium 运营商还可能与多个与伊朗有关的威胁参与者协调了他们的黑客攻击尝试。

微软表示：“我们还以适度的信心评估观察到的活动是与伊朗情报和安全部 (MOIS) 下属的其他参与者协调的，主要基于受害者的重叠和工具和技术的通用性。”

“德黑兰的这种合作或指示将与自 2020 年底以来伊朗政府正在利用第三方代表他们开展网络行动的一系列爆料相吻合，这可能会增强伊朗的合理推诿。”

在一些攻击中，微软观察到证据表明 MOIS 运营商可能为 Polonium 黑客提供了访问先前被破坏的网络的权限。

钋运营商还瞄准了受 MuddyWater APT 组织入侵的多名受害者，该组织被微软追踪为 Mercury，并 与 美国网络司令部与伊朗情报和安全部有联系。

威胁参与者在他们的攻击中使用了几种恶意软件，例如 CreepyDrive 和基于 PowerShell 的 CreepySnail 植入程序，用于命令和控制以及数据盗窃。

可能通过易受攻击的 Fortinet 设备进行初始访问
微软补充说，对于绝大多数受害者来说，初始访问向量似乎是未修补的 Fortinet FortiOS SSL VPN 设备，这些设备易受 CVE-2018-13379 攻击，该漏洞针对允许登录凭据被盗的关键路径遍历漏洞。

这是在黑客于 2020 年 11 月泄露了 近 50,000 个易受攻击的 Fortinet VPN的凭据之后，就在网上共享 了 CVE-2018-13379 单线漏洞列表的几天后 。

将近一年后，据称从可利用设备 中抓取的近 500,000 个 Fortinet VPN 凭据的列表再次在网上泄露。

美国、英国和澳大利亚的网络安全机构在 2021 年 11 月警告说，伊朗支持的黑客组织正在积极利用几个 Fortinet 漏洞（包括 CVE-2018-13379 路径遍历）。

“虽然我们继续确认 POLONIUM 如何获得对许多受害者的初始访问权限，但 MSTIC 指出，大约 80% 的观察到的向 graph.microsoft.com 发送信标的受害者正在运行 Fortinet 设备，”微软 补充道。

“这表明，但不能明确证明，POLONIUM 通过利用 CVE-2018-13379 漏洞来获取对受感染组织的访问权限，从而破坏了这些 Fortinet 设备。”

Microsoft 敦促客户确保 Microsoft Defender 防病毒软件使用最新的安全智能更新（1.365.40.0 或更高版本），并对所有远程连接强制执行多重身份验证 (MFA)，以阻止滥用可能受损的凭据。