O grupo de hackers patrocinado pelo Estado norte-coreano, ScarCruft, foi vinculado a um ciberataque à infraestrutura de TI e ao servidor de e-mail da NPO Mashinostroyeniya, uma organização russa de design de foguetes espaciais e engenharia de mísseis balísticos intercontinentais.
NPO Mashinostroyeniya é uma designer e fabricante russa de veículos orbitais, espaçonaves e mísseis de defesa tática e ataque usados pelos exércitos russo e indiano.
O Departamento de Tesouro dos EUA (OFAC) sanciona a empresa desde 2014 por sua contribuição e papel na guerra Russo-Ucraniana.
Hoje, a SentinelLabs informou que ScarCruft está por trás de um hack do servidor de e-mail e dos sistemas de TI da NPO Mashinostroyeniya, onde os atores da ameaça plantaram um backdoor do Windows chamado 'OpenCarrot' para acesso remoto à rede.
Embora o principal objetivo do ataque seja incerto, a ScarCruft (APT37) é um grupo de espionagem cibernética conhecido por vigiar e roubar dados de organizações como parte de suas campanhas cibernéticas.
Os analistas de segurança descobriram a violação após analisar um vazamento de e-mail da NPO Mashinostroyeniya que continha comunicações altamente confidenciais, incluindo um relatório da equipe de TI alertando sobre um possível incidente de cibersegurança em meados de maio de 2022.
A SentinelLabs utilizou as informações desses e-mails para realizar uma investigação, descobrindo uma intrusão muito mais significativa do que o fabricante de mísseis percebeu.
De acordo com os e-mails vazados, a equipe de TI da NPO Mashinostroyeniya discutiu uma comunicação de rede suspeita entre processos rodando em dispositivos internos e servidores externos.
Isso finalmente levou a empresa a encontrar um DLL malicioso instalado em sistemas internos, fazendo com que se envolvessem com sua empresa antivírus para determinar como haviam sido infectados.
Após analisar os endereços IP e outros indicadores de comprometimento (IOCs) encontrados nos e-mails, o SentinelLabs determinou que a organização russa foi infectada com o backdoor 'OpenCarrot' do Windows.
OpenCarrot é um malware backdoor muito rico em recursos já vinculado a outro grupo de hackers da Coreia do Norte, o Lazarus Group.
Embora não esteja claro se essa foi uma operação conjunta entre ScarCruft e Lazarus, não é incomum para os hackers norte-coreanos utilizarem ferramentas e táticas que se sobrepõem a outros atores de ameaças patrocinados pelo estado no país.
A variante do OpenCarrot usada neste ataque específico foi implementada como um arquivo DLL, que suporta comunicações proxy através de hosts de rede interna.
Quando usuários legítimos nos dispositivos comprometidos se tornam ativos, o OpenCarrot entra automaticamente em um estado de repouso e verifica a cada 15 segundos a inserção de novos drives USB que podem ser adulterados e usados para movimento lateral.
Simultaneamente, a SentinelLabs viu evidências de tráfego suspeito originado do servidor de e-mail Linux da vítima, que estava enviando sinais para a infraestrutura da ScarCruft.
Os analistas ainda estão determinando o método de intrusão, mas mencionam a possibilidade de os atores da ameaça usarem seu backdoor RokRAT de assinatura.
A SentinelLabs sugere que o envolvimento de dois grupos de hackers apoiados pelo estado poderia indicar uma estratégia deliberada pelo estado norte-coreano que controla ambos.
Ao designar vários atores para infiltrar a NPO Mashinostroyeniya, que provavelmente consideravam um alvo significativo para espionagem, o estado pode ter procurado ampliar a probabilidade de uma violação bem-sucedida.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...