15 июля 2022 года четыре группировки иранских правительственных хакеров провели разрушительную атаку на государственные онлайн-сервисы и правительственные веб-сайты Албании, выведя их из строя.
По данным Microsoft, атака состояла из четырех этапов, за каждый из которых отвечали разные группировки:
DEV-0861 – предоставила первичный доступ к системам и данным. Эксперты предполагают, что эта группировка может быть связана с EUROPIUM – бандой хакеров, работающей на Министерство информации и национальной безопасности Ирана (MOIS). В отчете Microsoft говорится, что злоумышленники могли получить первоначальный доступ к албанским государственным системам, используя CVE-2019-0604 – уязвимость в SharePoint, исправленную в марте 2019 года. Киберпреступники выполнили вредоносный код, внедряющий веб-оболочки, которые затем используются для загрузки файлов, проведения разведки, выполнения произвольных команд и отключения антивирусных программ. По данным экспертов, хакеры получили первоначальный доступ к системам жертвы в мае 2021 года, а в период с октября 2021 года по январь 2022 года крали электронные письма чиновников из взломанной сети.
DEV-0166 – похитила нужные данные;
DEV-0133 – исследовала IT-инфраструктуру жертвы;
DEV-0842 – развернула вымогательское ПО и
Источник: SecurityLab