0
0
Hackers norte-coreanos descobertos
Os pesquisadores encontraram uma comunicação por e-mail vazada entre a equipe de TI da NPO Mashinostroyeniya que continha informações sobre uma possível invasão cibernética detectada pela primeira vez em maio de 2022.
De acordo com os e-mails, a equipe de TI da empresa violada descobriu um arquivo DLL suspeito nos sistemas da empresa, que os pesquisadores do SentinelLabs identificaram como uma versão do backdoor do sistema operacional Windows OpenCarrot anteriormente vinculado ao grupo de hackers Lazarus.
“O OpenCarrot permite o comprometimento total das máquinas infectadas, bem como a coordenação de várias infecções em uma rede local”, observaram os pesquisadores.
“A variante do OpenCarrot que analisamos oferece suporte à comunicação C2 por proxy por meio dos hosts da rede interna e diretamente para o servidor externo, o que suporta a forte possibilidade de um comprometimento de toda a rede.”
Os pesquisadores também descobriram que o tráfego de rede incomum discutido nos e-mails foi devido ao comprometimento do servidor de e-mail Linux da empresa.
Os pesquisadores ainda não determinaram o método de acesso inicial, mas vincularam “ferramentas e técnicas de carregamento de malware envolvendo esse conjunto de infraestrutura àquelas vistas na atividade ScarCruft relatada anteriormente usando o backdoor RokRAT”, observaram.
“ScarCruft é comumente atribuído à atividade patrocinada pelo estado da Coréia do Norte, visando indivíduos e organizações de alto valor quase globalmente. O grupo também é conhecido como Inky Squid, APT37 ou Group123, e geralmente apresenta uma variedade de recursos técnicos para suas intrusões.”
Dados técnicos sugerem que a invasão começou em dezembro de 2021 e durou até maio de 2022, quando foi descoberta.
Espionagem cibernética
Os grupos de hackers norte-coreanos são geralmente conhecidos por ataques com foco financeiro destinados a apoiar as ambições econômicas, políticas e militares do país, mas a espionagem cibernética também é um meio de atingir esses objetivos.
“Neste momento, não podemos determinar a natureza potencial do relacionamento entre os dois atores de ameaças. Reconhecemos um potencial relacionamento de compartilhamento entre os dois atores de ameaças afiliados à RPDC, bem como a possibilidade de que a tarefa considerasse esse alvo importante o suficiente para atribuir a vários agentes de ameaças independentes”, observaram os pesquisadores .
“NPO Mashinostroyeniya é uma entidade sancionada que possui propriedade intelectual altamente confidencial sobre tecnologia de mísseis sensíveis atualmente em uso e em desenvolvimento para os militares russos.”
FONTE: HELP NET SECURITY