El grupo de hackers patrocinado por el estado de Corea del Norte, ScarCruft, ha sido vinculado a un ataque cibernético en la infraestructura informática y el servidor de correo electrónico de NPO Mashinostroyeniya, una organización rusa de diseño de cohetes espaciales y de ingeniería de misiles balísticos intercontinentales.
NPO Mashinostroyeniya es un diseñador y fabricante ruso de vehículos orbitales, naves espaciales y misiles tácticos de defensa y ataque utilizados por los ejércitos ruso e indio. El Departamento del Tesoro de Estados Unidos ha sancionado a la empresa desde 2014 por su contribución y papel en la guerra ruso-ucraniana.
Recientemente, SentinelLabs informó que ScarCruft está detrás de un ataque al servidor de correo electrónico y los sistemas de NPO Mashinostroyeniya, donde los atacantes instalaron una puerta trasera de Windows llamada 'OpenCarrot' para el acceso remoto a la red.
Si bien el objetivo principal del ataque no está claro, ScarCruft (APT37) es un grupo de espionaje cibernético conocido por vigilar y robar datos de organizaciones como parte de sus campañas cibernéticas.
Descubriendo el ataque
Los analistas de seguridad descubrieron el incidente después de analizar una filtración de correo electrónico de NPO Mashinostroyeniya que contenía comunicaciones altamente confidenciales, incluido un informe del personal de informática que advertía sobre un posible incidente de ciberseguridad a mediados de mayo de 2022.
SentinelLabs aprovechó la información de estos correos electrónicos para emprender una investigación y descubrió una intrusión mucho más significativa de lo que el fabricante de misiles pensó.
Según los correos electrónicos filtrados, el personal de informática de NPO Mashinostroyeniya discutió la comunicación de red sospechosa entre los procesos que se ejecutan en dispositivos internos y servidores externos.
En última instancia, esto llevó a la empresa a encontrar una DLL maliciosa instalada en los sistemas internos.
Después de analizar las direcciones IPs y otros indicadores de compromiso (IOC) encontrados en los correos electrónicos, SentinelLabs determinó que la organización rusa estaba infectada con la puerta trasera de Windows 'OpenCarrot'.
Vínculos con Lazarus
OpenCarrot es un malware de puerta trasera rico en características previamente vinculado a otro grupo de hackers de Corea del Norte, Lazarus Group.
Si bien no está claro si se trató de una operación conjunta entre ScarCruft y Lazarus, no es raro que los hackers de Corea del Norte utilicen herramientas y tácticas que se superponen con otros atacantes patrocinados por el estado en el país.
La variante de OpenCarrot utilizada en este ataque en particular se implementó como un archivo DLL y admite comunicaciones de proxy a través de hosts de red internos.
Cuando los usuarios legítimos de los dispositivos comprometidos se activan, OpenCarrot ingresa automáticamente en un estado de suspensión y verifica cada 15 segundos la inserción de nuevas unidades USB que se pueden conectar y usar para el movimiento lateral.
Simultáneamente, SentinelLabs vio evidencia de tráfico sospechoso que se originaba en el servidor de correo electrónico Linux de la víctima, que se dirigía a la infraestructura de ScarCruft.
Los analistas aún están determinando el método de intrusión, pero mencionan la posibilidad de que los atacantes usen su puerta trasera RokRAT.
SentinelLabs sugiere que la participación de dos grupos de hacekrs respaldados por el estado podría indicar una estrategia deliberada del estado de Corea del Norte que controla ambos.
Al asignar múltiples atacantes para
infiltrarse en NPO Mashinostroyeniya, que probablemente consideraban un
objetivo importante para el espionaje, el estado puede haber buscado aumentar
la probabilidad de un ataque exitoso.
Cómo Corea del Norte recluta jóvenes para su ejército de hackers