兩個與朝鮮有聯系的APT集團破壞了俄羅斯主要導彈工程公司NPO Mashinostroyeniya的基礎設施。NPO Mashinostroyenia是俄羅斯領先的導彈和軍用航天器制造商。這家俄羅斯公司于2014年7月受到美國財政部的制裁,原因是它支持俄羅斯政府試圖破壞烏克蘭東部的穩定及其對克里米亞的持續占領。
研究人員發現了兩起與朝鮮有關的妥協事件,即黑客破壞了敏感的內部IT基礎設施,包括一個特定的電子郵件服務器。攻擊者還使用了名為OpenCarrot的Windows后門。
網絡安全公司SentinelOne將郵件服務器的黑客攻擊歸因于ScarCruft APT集團,同時將OpenCarrot后門與Lazarus集團聯系起來。然而,目前尚不清楚這兩個組織是否作為聯合網絡間諜活動的一部分入侵了這家俄羅斯公司。
網絡間諜瞄準了該公司,試圖竊取俄羅斯軍方目前正在使用和開發的敏感導彈技術的高度機密知識產權。
研究人員在對疑似朝鮮APT的活動進行日常監測時發現了黑客行為。他們發現了一個泄露的電子郵件集,其中包含一個與朝鮮團體有關的植入物和從俄羅斯組織竊取的信息。
根據泄露的電子郵件,這家俄羅斯公司于2022年5月發現了入侵事件。2022年5月中旬,大約在俄羅斯否決聯合國決議對朝鮮發射可能攜帶核武器的洲際彈道導彈實施新制裁的一周前,受害者組織在內部標記了入侵行為。NPO Mashinostroyeniya的內部電子郵件顯示,IT工作人員交換了討論,強調了具體流程之間存在的可疑溝通以及未知的外部基礎設施。同一天,NPO Mashinostroyeniya的工作人員還發現了不同內部系統中存在的可疑DLL文件。
最初的攻擊向量尚不清楚,但研究人員推測受害者的目標是旨在傳遞RokRAT后門的魚叉式網絡釣魚消息。
SentinelOne在報告中總結道:“我們高度自信地將此次入侵歸因于與朝鮮獨立相關的黑客。這起事件有力地說明了朝鮮為秘密推進其導彈開發目標而采取的積極措施,朝鮮網絡黑客的匯合是一個影響深遠的威脅,需要進行全面的全球監測。”
看雪學苑
安全圈
聚銘網絡
安全內參
黑白之道
D1Net
安全內參
安全內參
數世咨詢
安全內參
GoUpSec
聚銘網絡
