Իրանցի հաքերներին վերագրվում է Ալբանիայի և Իսրայելի դեմ ուղղված կիբերհարձակումների մենաշնորն ու հիմնական մեղադրանքը։
Կիբերանվտանգության Check Point ընկերությունը գործունեությանը հետևում է Void Manticore մականունով, որը Microsoft-ի կողմից հայտնի է նաև որպես Storm-0842։
2022 թվականի հուլիսից ի վեր իրանական հանցախումբն ակտիվ հանդես է գալիս Ալբանիայի դեմ իր խափանող կիբերհարձակումներով, որը ներառում է տարատեսակ malware-ների օգտագործումը և հանդես է գալիս Cl Wiper անվանումով։
Որոշ դեպքերում սկզբնական մուտքն իրականացվում է internet-facing հավելվածներով՝ անվտանգության հայտնի CVE-2019-0604 խոցելիության կիրառմամբ։
Հաջող քայլով իրականացվում է web shell-ի տեղակայումը, ներառյալ՝ Karma Shell կոչվող homebrewed–ը, որն ի վիճակի է ստեղծել նոր պրոցեսներ, վերբեռնել ֆայլեր և դադարացնել ընթացիկ ծառայությունների գործունեությունը։
Գործընթացին կցված են եղել տարբեր իրանցի հաքերներ, որոնցից յուրաքանչյուրը պատասխանատու է եղել տարբեր գործառույթի համար՝
- Storm-0861 gained initial access and exfiltrated data
- Storm-0842 deployed the ransomware and wiper malware
- Storm-0166 exfiltrated data
- Storm-0133 probed victim infrastructure
Հարկ է նաև նշել, որ Storm-0861-ը APT34-ում համարվում է մի փոքր տարր (նույն ինքը՝ Cobalt Gypsy, Hazel Sandstorm, Helix Kitten և OilRig), ինչը հայտնի է՝ Shamoon և ZeroCleare wiper malware–երի տարածմամբ։
Աղբյուրը՝ https://thehackernews.com/