15:00 / 28 июня 2025
В течение пяти-шести месяцев северокорейские хакеры имели доступ к серверам российского производителя ракет ВПК «НПО машиностроения», пишет The Register со ссылкой на компанию по кибербезопасности SentinelOne. Атака иллюстрирует потенциальные усилия КНДР по продвижению разработки ракет и других военных технологий с помощью кибершпионажа.
Поддерживаемая государством хакерская группа ScarCruft взломала почтовые серверы. Остальные действия по взлому были приписаны Lazarus Group. Они обеспечивают полную компрометацию зараженных машин и координацию действий в зараженной сети.
По словам исследователей SentinelOne, вариант, использованный в этом инциденте, «поддерживает прокси-соединение C2 через хосты внутренней сети и напрямую на внешний сервер».
Производитель ракет обнаружил вторжение в мае 2022 года, когда сотрудники заметили необычную связь между конкретными процессами и неизвестной внешней инфраструктурой. Это привело к тому, что они обнаружили в своих системах неизвестный файл DLL. После обнаружения утечки производство немедленно прекратило связь с почтовым сервером.
По словам SentinelOne, дальнейшее изучение архива в рамках исследования выявило более масштабное вторжение, которое в то время не было полностью распознано «НПО машиностроения».
В течение этих месяцев между вторжением и обнаружением хакеры могли читать электронную почту, перемещаться между сетями и извлекать данные.
Поделиться новостью
15:00 / 28 июня 2025
11:00 / 28 июня 2025
20:00 / 27 июня 2025
19:30 / 27 июня 2025
Председатель СПЧ шутит о борьбе с телефонным мошенничеством
20:00 / 27 июня 2025
Мошенники маскируют вредоносное ПО под приложения Zoom и Word
18:00 / 27 июня 2025
В ФСБ призвали не общаться с незнакомцами в мессенджерах
15:30 / 27 июня 2025
Потери от DDoS-атак в России выросли в три раза
12:00 / 27 июня 2025