- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
По данным Microsoft, атака состояла из четырех этапов, за каждый из которых отвечали разные группировки:
- DEV-0861 – предоставила первичный доступ к системам и данным. Эксперты предполагают, что эта группировка может быть связана с EUROPIUM – бандой хакеров, работающей на Министерство информации и национальной безопасности Ирана (MOIS). В отчете Microsoft говорится, что злоумышленники могли получить первоначальный доступ к албанским государственным системам, используя CVE-2019-0604 – уязвимость в SharePoint, исправленную в марте 2019 года. Киберпреступники выполнили вредоносный код, внедряющий веб-оболочки, которые затем используются для загрузки файлов, проведения разведки, выполнения произвольных команд и отключения антивирусных программ. По данным экспертов, хакеры получили первоначальный доступ к системам жертвы в мае 2021 года, а в период с октября 2021 года по январь 2022 года крали электронные письма чиновников из взломанной сети.
- DEV-0166 – похитила нужные данные;
- DEV-0133 – исследовала IT-инфраструктуру жертвы;
- DEV-0842 – развернула вымогательское ПО и вайпер. На этом этапе все прошло так же, как и в ходе других кибератак, приписываемых иранским группировкам: сначала было развернуто вымогательское ПО, а потом вайпер, использующий лицензионный ключ и драйвер EldoS RawDisk, который был ранее замечен в другой кибератаке 2019 года. Вайпер, использованный DEV-0842 был подписан недействительным цифровым сертификатом от Kuwait Telecommunications Company KSC.