Dos actores diferentes del estado-nación de Corea del Norte han sido vinculados a una intrusión cibernética contra la importante empresa rusa de ingeniería de misiles NPO Mashinostroyeniya.
La firma de seguridad cibernética SentinelOne dijo que identificó «dos casos de compromiso de la infraestructura de TI interna confidencial relacionado con Corea del Norte», incluido un caso de compromiso del servidor de correo electrónico y la implementación de una puerta trasera de Windows denominada OpenCarrot.
La brecha en el servidor de correo de Linux se ha atribuido a ScarCruft. OpenCarrot, por otro lado, es un implante conocido previamente identificado como utilizado por el Grupo Lazarus. Los ataques se marcaron a mediados de mayo de 2022.
Una oficina de diseño de cohetes con sede en Reutov, NPO Mashinostroyeniya, fue sancionada por el Departamento del Tesoro de EE.UU. en julio de 2014 en relación con «los continuos intentos de Rusia de desestabilizar el este de Ucrania y su ocupación continua de Crimea».
Si bien tanto ScarCruft (también conocido como APT37) como Lazarus Group están afiliados a Corea del Norte, vale la pena señalar que el primero está supervisado por el Ministerio de Seguridad del Estado (MSS). Lazarus Group es parte de Lab 110, que es un componente de la Oficina General de Reconocimiento (RGB), el principal servicio de inteligencia exterior del país.
Nagios es un poderoso sistema de monitoreo de infraestructuras TI que permite a las organizaciones identificar y resolver problemas antes de que afecten los procesos comerciales críticos.
Conocer..
El desarrollo marca una rara convergencia en la que dos grupos de actividades de amenazas independientes con sede en Corea del Norte han apuntado a la misma entidad, lo que indica una «misión de espionaje estratégico altamente deseable» que podría beneficiar su controvertido programa de misiles.
OpenCarrot se implementa como una biblioteca de enlace dinámico (DLL) de Windows y admite más de 25 comandos para realizar reconocimientos, manipular sistemas y procesos de archivos y administrar varios mecanismos de comunicación.
«Con una amplia gama de funciones compatibles, OpenCarrot permite el compromiso total de las máquinas infectadas, así como la coordinación de múltiples infecciones en una red local», dijeron los investigadores de seguridad Tom Hegel y Aleksandar Milenkoski.
Se desconoce el método exacto utilizado para violar el servidor de correo electrónico, así como la cadena de ataque empleada para entregar OpenCarrot, aunque se sabe que ScarCruft confía en la ingeniería social para phishing a las víctimas y entrega puertas traseras como RokRat.
Además, una inspección más detallada de la infraestructura de ataque ha revelado dos dominios centos-packages[.]com y redhat-packages[.]com, que tienen similitudes con los nombres que los actores de amenazas usaron en el ataque de JumpCloud en junio de 2023
«Este incidente es una ilustración convincente de las medidas proactivas de Corea del Norte para avanzar de forma encubierta en sus objetivos de desarrollo de misiles, como lo demuestra su compromiso directo con una organización de la Base Industrial de Defensa Rusa (DIB)», dijeron los investigadores.
Fuente: Thehackernews
