Компания SentinelLabs обнаружила вторжение в российскую оборонно-промышленную базу, в частности, в ракетно-конструкторскую организацию НПО "Машиностроение".
- Результаты свидетельствуют о двух случаях взлома чувствительной внутренней ИТ-инфраструктуры, включая конкретный сервер электронной почты, а также об использовании бэкдора для Windows под названием OpenCarrot, связанного с Северной Кореей.
- В анализе SentinelLabs компрометация почтового сервера приписывается угрожающему агенту ScarCruft. SentinelLabs также выявили использование бэкдора Lazarus Group для компрометации внутренней сети.
- В настоящее время SentinelLabs не можем определить потенциальную природу взаимоотношений между этими двумя угрозами. SentinelLabs допускает возможность совместной работы двух угроз, связанных с КНДР, а также возможность того, что при постановке задачи эта цель была сочтена достаточно важной, чтобы поручить ее нескольким независимым угрозам.
Indicators of Compromise
IPv4
- 160.202.79.226
- 192.169.7.197
- 5.134.119.142
- 96.9.255.150
Domains
- 606qipai.com
- asplinc.com
- bsef.or.kr
- centos-packages.com
- dallynk.com
- redhat-packages.com
- yolenny.com
MD5
- 0b7dad90ecc731523e2eb7d682063a49
- 516beb7da7f2a8b85cb170570545da4b
- 6ad6232bcf4cef9bf40cbcae8ed2f985
- 9216198a2ebc14dd68386738c1c59792
- 921aa3783644750890b9d30843253ec6
- 99fd2e013b3fba1d03a574a24a735a82
- d0f6cf0d54cf77e957bce6dfbbd34d8e
SHA1
- 07b494575d548a83f0812ceba6b8d567c7ec86ed
- 2217c29e5d5ccfcf58d2b6d9f5e250b687948440
- 246018220a4f4f3d20262b7333caf323e1c77d2e
- 8b6ffa56ca5bea5b406d6d8d6ef532b4d36d090f
- 90f52b6d077d508a23214047e680dded320ccf4e
- f483c33acf0f2957da14ed422377387d6cb93c4d
- f974d22f74b0a105668c72dc100d1d9fcc8c72de
