Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Преступная группа POLONIUM
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Преступная группа
POLONIUM
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

POLONIUM

POLONIUM is a Lebanon-based group that has primarily targeted Israeli organizations, including critical manufacturing, information technology, and defense industry companies, since at least February 2022. Security researchers assess POLONIUM has coordinated their operations with multiple actors affiliated with Iran’s Ministry of Intelligence and Security (MOIS), based on victim overlap as well as common techniques and tooling.(Citation: Microsoft POLONIUM June 2022)
ID: G1005
Associated Groups: 
Version: 1.0
Created: 01 Jul 2022
Last Modified: 10 Aug 2022

Associated Group Descriptions
Name Description

Techniques Used
Domain ID Name Use
Enterprise T1583 .006 Acquire Infrastructure: Web Services

POLONIUM has created and used legitimate Microsoft OneDrive accounts for their operations.(Citation: Microsoft POLONIUM June 2022)
Enterprise T1567 .002 Exfiltration Over Web Service: Exfiltration to Cloud Storage

POLONIUM has exfiltrated stolen data to POLONIUM-owned OneDrive and Dropbox accounts.(Citation: Microsoft POLONIUM June 2022)

Enterprise T1588 .002 Obtain Capabilities: Tool

POLONIUM has obtained and used tools such as AirVPN and plink in their operations.(Citation: Microsoft POLONIUM June 2022)

Enterprise T1102 .002 Web Service: Bidirectional Communication

POLONIUM has used OneDrive and DropBox for C2.(Citation: Microsoft POLONIUM June 2022)

Software
ID Name References Techniques
S1023 CreepyDrive (Citation: Microsoft POLONIUM June 2022) Web Protocols, Exfiltration to Cloud Storage, Bidirectional Communication, Application Access Token, File and Directory Discovery, Ingress Tool Transfer, PowerShell, Data from Local System
S1024 CreepySnail (Citation: Microsoft POLONIUM June 2022) Domain Accounts, Web Protocols, System Network Configuration Discovery, Standard Encoding, PowerShell, Exfiltration Over C2 Channel, System Owner/User Discovery

References

  1. Microsoft. (2022, June 2). Exposing POLONIUM activity and infrastructure targeting Israeli organizations. Retrieved July 1, 2022.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.