关键词
两个与朝鲜有联系的APT集团破坏了俄罗斯主要导弹工程公司NPO Mashinostroyeniya的基础设施。NPO Mashinostroyenia是俄罗斯领先的导弹和军用航天器制造商。这家俄罗斯公司于2014年7月受到美国财政部的制裁,原因是它支持俄罗斯政府试图破坏乌克兰东部的稳定及其对克里米亚的持续占领。
研究人员发现了两起与朝鲜有关的妥协事件,即黑客破坏了敏感的内部IT基础设施,包括一个特定的电子邮件服务器。攻击者还使用了名为OpenCarrot的Windows后门。
网络安全公司SentinelOne将邮件服务器的黑客攻击归因于ScarCruft APT集团,同时将OpenCarrot后门与Lazarus集团联系起来。然而,目前尚不清楚这两个组织是否作为联合网络间谍活动的一部分入侵了这家俄罗斯公司。
网络间谍瞄准了该公司,试图窃取俄罗斯军方目前正在使用和开发的敏感导弹技术的高度机密知识产权。
研究人员在对疑似朝鲜APT的活动进行日常监测时发现了黑客行为。他们发现了一个泄露的电子邮件集,其中包含一个与朝鲜团体有关的植入物和从俄罗斯组织窃取的信息。
根据泄露的电子邮件,这家俄罗斯公司于2022年5月发现了入侵事件。2022年5月中旬,大约在俄罗斯否决联合国决议对朝鲜发射可能携带核武器的洲际弹道导弹实施新制裁的一周前,受害者组织在内部标记了入侵行为。NPO Mashinostroyeniya的内部电子邮件显示,IT工作人员交换了讨论,强调了具体流程之间存在的可疑沟通以及未知的外部基础设施。同一天,NPO Mashinostroyeniya的工作人员还发现了不同内部系统中存在的可疑DLL文件。
最初的攻击向量尚不清楚,但研究人员推测受害者的目标是旨在传递RokRAT后门的鱼叉式网络钓鱼消息。
SentinelOne在报告中总结道:“我们高度自信地将此次入侵归因于与朝鲜独立相关的黑客。这起事件有力地说明了朝鲜为秘密推进其导弹开发目标而采取的积极措施,朝鲜网络黑客的汇合是一个影响深远的威胁,需要进行全面的全球监测。”
原文始发于微信公众号(安全圈):【安全圈】朝鲜黑客入侵俄罗斯导弹公司,军工技术机密被窃取
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论