Kuzey Kore devlet destekli hack grubu Scarcruft, bir Rus uzay roket tasarımcısı ve kıtalararası balistik füze mühendisliği organizasyonu olan NPO Mashinostroyeniya için BT altyapısı ve e-posta sunucusu üzerindeki bir siber saldırıya bağlanmıştır.
NPO Mashinostroyeniya, Rus ve Hint orduları tarafından kullanılan yörünge araçları, uzay aracı ve taktik savunma ve saldırı füzeleri üreticisidir. ABD Hazine Bakanlığı (OFAC), 2014 yılından bu yana Rus-Ukrayna Savaşı'ndaki katkısı ve rolü nedeniyle şirketi onayladı.
Bugün, Sentinellabs, Scarcruft'un NPO Mashinostroyeniya'nın e -posta sunucusunun ve BT sistemlerinin bir hackinin arkasında olduğunu bildirdi, burada tehdit aktörleri ağa uzaktan erişim için 'OpenCarrot' adlı bir Windows arka kapı dikti.
Saldırının temel amacı belirsiz olmakla birlikte, Scarcruft (APT37), siber kampanyalarının bir parçası olarak kuruluşlardan veri verdiği ve çaldığı bilinen bir siber casusluk grubudur.
Güvenlik analistleri, NPO Mashinostroyeniya'dan bir e-posta sızıntısını analiz ettikten sonra, BT personelinin 2022 ortasında olası bir siber güvenlik olayının uyarısı da dahil olmak üzere son derece gizli iletişim içeren bir e-posta sızıntısını analiz ettikten sonra keşfetti.
Sentinellabs, bir soruşturma yapmak için bu e -postalardaki bilgileri kullandı ve füze üreticisinin gerçekleştirdiği çok daha önemli bir saldırı keşfetti.
Sızan e -postalara göre, NPO Mashinostroyeniya'daki BT personeli, dahili cihazlarda ve harici sunucularda çalışan işlemler arasındaki şüpheli ağ iletişimi tartıştı.
Bu nihayetinde şirketin iç sistemlere kurulu kötü niyetli bir DLL bulmasına yol açarak, nasıl enfekte olduklarını belirlemek için antivirüs firmalarıyla etkileşime girmelerine neden oldu.
IP adreslerini ve e -postalarda bulunan diğer uzlaşma göstergelerini (IOCS) analiz ettikten sonra, Sentinellabs Rus organizasyonuna 'OpenCarrot' Windows Backdoor ile enfekte olduğunu belirledi.
OpenCarrot, daha önce başka bir Kuzey Koreli hack grubu olan Lazarus Grubu ile bağlantılı özellik açısından zengin bir arka kapı kötü amaçlı yazılımdır.
Bunun Scarcruft ve Lazarus arasında ortak bir operasyon olup olmadığı açık olmasa da, Kuzey Koreli bilgisayar korsanlarının ülkedeki diğer devlet destekli tehdit aktörleriyle örtüşen araçlar ve taktikler kullanması nadir değildir.
Bu özel saldırıda kullanılan OpenCarrot varyantı bir DLL dosyası olarak uygulandı, dahili ağ ana bilgisayarları aracılığıyla proxying iletişimi destekliyor.
Arka kapı, aşağıdakileri içeren toplam 25 komutu destekler:
Meclisli cihazlardaki meşru kullanıcılar aktif hale geldiğinde, OpenCarrot otomatik olarak bir uyku durumuna girer ve yanal hareket için bağlanabilen ve kullanılabilen yeni USB sürücülerinin eklenmesi için her 15 saniyede bir kontrol eder.
Eşzamanlı olarak, Sentinellabs, mağdurun Linux e -posta sunucusundan kaynaklanan şüpheli trafiğin kanıtı gördü ve bu da Scarcruft altyapısına giden yola çıktı.
Analistler hala izinsiz giriş yöntemini belirliyorlar, ancak tehdit aktörlerinin imza rokrat arka kapısını kullanma olasılığından bahsediyorlar.
Sentinellabs, iki devlet destekli hack grubunun katılımının, Kuzey Kore devletinin her ikisini de kontrol eden kasıtlı bir stratejiyi gösterebileceğini öne sürüyor.
Muhtemelen casusluk için önemli bir hedef düşündükleri NPO Mashinostroyeniya'ya sızmak için birden fazla aktör atayarak, devlet başarılı bir ihlal olasılığını artırmaya çalışmış olabilir.
Coinspaid, Lazarus Hacker'ları hırsızlık için 37.300.000 dolarlık kripto için suçluyor
Lazarus Hacker'ları 60 milyon dolarlık Alphapo kripto para birimi soyguna bağlı
35 milyon dolarlık atom cüzdanı soyguna bağlı Lazarus hackerları
Lazarus Hackers Microsoft IIS Sunucularını Kötü Yazılımları Yaymak İçin Haksız
Github, kötü niyetli projelerle geliştiricileri hedefleyen Lazarus hacker'larını uyarıyor
Kaynak: Bleeping Computer