Η ομάδα hacking ScarCruft από τη Βόρεια Κορέα έχει συνδεθεί με μια κυβερνοεπίθεση στην υποδομή πληροφορικής και στον διακομιστή email του NPO Mashinostroyeniya, ενός ρωσικού σχεδιαστή διαστημικών πυραύλων και οργανισμού μηχανικής διηπειρωτικών βαλλιστικών πυραύλων.
Δείτε επίσης: Η ομάδα hacking ScarCruft διασπείρει το RokRAT malware
Η NPO Mashinostroyeniya είναι μια ρωσική εταιρεία που ασχολείται με τον σχεδιασμό και την κατασκευή διαστημικών οχημάτων, τροχιακών οχημάτων και πυραύλων τακτικής άμυνας και επίθεσης. Τα προϊόντα της χρησιμοποιούνται από τον ρωσικό και τον ινδικό στρατό. Το Υπουργείο Οικονομικών των ΗΠΑ (OFAC) έχει επιβάλει κυρώσεις στην εταιρεία, λόγω της συμβολής της και του ρόλου της στον ρωσο-ουκρανικό πόλεμο.
Η SentinelLabs ανακοίνωσε ότι η ScarCruft ευθύνεται για μια παραβίαση του διακομιστή email και των πληροφορικών συστημάτων της NPO Mashinostroyeniya. Οι δράστες δημιούργησαν ένα backdoor στα Windows με το όνομα “OpenCarrot” για απομακρυσμένη πρόσβαση στο δίκτυο.
Παρόλο που ο βασικός στόχος της επίθεσης παραμένει ασαφής, η ομάδα κατασκοπείας ScarCruft (APT37) είναι γνωστή για τη δραστηριότητά της στον κυβερνοχώρο, όπου παρακολουθεί και κλέβει δεδομένα από οργανισμούς στο πλαίσιο των εκστρατειών της.
Οι αναλυτές ασφαλείας ανακάλυψαν μια παραβίαση μετά από ανάλυση μιας διαρροής email από την NPO Mashinostroyeniya. Η διαρροή περιείχε εξαιρετικά εμπιστευτικές πληροφορίες, συμπεριλαμβανομένης μιας αναφοράς από το προσωπικό πληροφορικής που προειδοποιούσε για ένα πιθανό περιστατικό ασφάλειας στον κυβερνοχώρο τον Μάιο του 2022.
Δείτε ακόμα: Τι τεχνικές διανομής malware χρησιμοποιεί η ομάδα hacking ScarCruft;
Η SentinelLabs ανέλυσε τις πληροφορίες που περιέχονταν σε αυτά τα ηλεκτρονικά μηνύματα, αποκαλύπτοντας μια πολύ πιο σημαντική παραβίαση από αυτήν που αντιλήφθηκε αρχικά ο κατασκευαστής πυραύλων.
Με βάση τα διαρρεύσαντα μηνύματα, το τμήμα πληροφορικής της NPO Mashinostroyeniya ανέφερε ύποπτη δικτυακή επικοινωνία μεταξύ των εσωτερικών συσκευών και των εξωτερικών διακομιστών κατά τη διάρκεια εκτέλεσης των διαδικασιών. Τελικά, αυτό οδήγησε την εταιρεία να ανακαλύψει ένα κακόβουλο DLL που είχε εγκατασταθεί στα εσωτερικά συστήματα, με αποτέλεσμα να συνεργαστεί με μια εταιρεία προστασίας από ιούς για να διαπιστώσει πώς είχε μολυνθεί.
Μετά την ανάλυση των διευθύνσεων IP και άλλων δεικτών παραβίασης (IOC) που εντοπίστηκαν στα μηνύματα ηλεκτρονικού ταχυδρομείου, η SentinelLabs διαπίστωσε ότι ο ρωσικός οργανισμός είχε μολυνθεί από την πύλη πρόσβασης στα Windows με το όνομα «OpenCarrot». Το OpenCarrot είναι ένα λογισμικό backdoor πλούσιο σε χαρακτηριστικά, το οποίο προηγουμένως συνδεόταν με μια άλλη ομάδα χάκερ από τη Βόρεια Κορέα, γνωστή ως ομάδα Lazarus.
Αν και δεν είναι εντελώς σαφές εάν πρόκειται για μια κοινή επιχείρηση ανάμεσα στη ScarCruft και τη Lazarus, δεν είναι ασυνήθιστο για βορειοκορεάτες χάκερ να χρησιμοποιούν εργαλεία και τεχνικές που επικαλύπτονται με άλλους φορείς απειλών που υποστηρίζονται από το κράτος στη χώρα. Οι αναλυτές εξακολουθούν να ερευνούν τη μέθοδο εισβολής, αλλά αναφέρουν ότι υπάρχει πιθανότητα οι κακόβουλοι παράγοντες να χρησιμοποιούν το κακόβουλο λογισμικό RokRAT μέσω της υπογεγραμμένης κερκόπορτας.
Δείτε επίσης: Οι χάκερ Kimsuky χρησιμοποιούν νέα έκδοση του ReconShark malware
Το RokRAT είναι ένα εξελιγμένο εργαλείο επίθεσης που χρησιμοποιείται από κυβερνοεγκληματίες για την κλοπή δεδομένων και τον έλεγχο των συστημάτων των θυμάτων. Εμφανίστηκε για πρώτη φορά το 2014 και από τότε έχει ενσωματώσει μια σειρά από εξελιξιμένες τεχνικές για την απόκρυψη των δραστηριοτήτων του. Χρησιμοποιεί εργαλεία και υπηρεσίες, όπως το Google Docs και το Twitter, για την επικοινωνία με τους διακομιστές εντολών και ελέγχου (C&C), καθιστώντας την ανίχνευση και τον αποκλεισμό του πιο δύσκολα.
