OpenCarrot Backdoor

ពួក Hacker ដែលឧបត្ថម្ភដោយរដ្ឋ ដែលគេជឿថាមានទំនាក់ទំនងជាមួយកូរ៉េខាងជើង បានសម្រុះសម្រួលហេដ្ឋារចនាសម្ព័ន្ធ IT ខាងក្នុងដ៏រសើប ដោយមានករណីគួរឱ្យកត់សម្គាល់រួមមានការសម្របសម្រួលនៃម៉ាស៊ីនមេអ៊ីមែល និងការដាក់ឱ្យប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ Windows backdoor ដែលត្រូវបានគេស្គាល់ថា OpenCarrot ។ អ្នកវាយប្រហារតាមអ៊ីនធឺណេតបានផ្តោតជាពិសេសទៅលើក្រុមហ៊ុន NPO Mashinostroyeniya ដែលជាក្រុមហ៊ុនវិស្វកម្មកាំជ្រួចមីស៊ីលដ៏លេចធ្លោរបស់រុស្ស៊ី។

ការបំពានដែលពាក់ព័ន្ធនឹងម៉ាស៊ីនមេអ៊ីមែលលីនុចត្រូវបានសន្មតថាជាក្រុមលួចចូល ScarCruft ។ ទោះបីជាយ៉ាងណាក៏ដោយ ប្រព័ន្ធប្រតិបត្តិការ Windows backdoor, OpenCarrot, ត្រូវបានភ្ជាប់ពីមុនជាមួយ Lazarus Group ជាមួយនឹងការវាយប្រហារលើកដំបូងដោយប្រើវាត្រូវបានរកឃើញដោយអ្នកជំនាញសន្តិសុខតាមអ៊ីនធឺណិតនៅពាក់កណ្តាលខែឧសភា ឆ្នាំ 2022។

មានទីតាំងនៅ Reutov NPO Mashinostroyeniya គឺជាការិយាល័យរចនាគ្រាប់រ៉ុក្កែត ដែលបានប្រឈមមុខនឹងការដាក់ទណ្ឌកម្មពីក្រសួងរតនាគារសហរដ្ឋអាមេរិកតាំងពីខែកក្កដា ឆ្នាំ 2014។ ទណ្ឌកម្មត្រូវបានដាក់ដោយសារតែការភ្ជាប់ការិយាល័យជាមួយ 'ការប៉ុនប៉ងបន្តរបស់រុស្ស៊ីដើម្បីធ្វើឱ្យអស្ថិរភាពនៅភាគខាងកើតអ៊ុយក្រែន និងការកាន់កាប់ដែលកំពុងបន្ត'។

OpenCarrot Backdoor មានអារេទូលំទូលាយនៃមុខងារគំរាមកំហែង

OpenCarrot ត្រូវ​បាន​រចនា​ជា Windows dynamic-link library (DLL) និង​ផ្តល់​នូវ​ការ​គាំទ្រ​សម្រាប់​ការ​បញ្ជា​ផ្សេង​គ្នា​ជាង 25 ។ ពាក្យបញ្ជាទាំងនេះជួយសម្រួលដល់សកម្មភាពដូចជាការឈ្លបយកការណ៍ ការរៀបចំប្រព័ន្ធឯកសារ និងដំណើរការ និងការគ្រប់គ្រងវិធីសាស្ត្រទំនាក់ទំនងផ្សេងៗ។ មុខងារដ៏ធំទូលាយដែលមាននៅក្នុង OpenCarrot គឺគ្រប់គ្រាន់សម្រាប់អ្នកវាយប្រហារដើម្បីបង្កើតការគ្រប់គ្រងពេញលេញលើម៉ាស៊ីនសម្របសម្រួល។ ក្នុងពេលជាមួយគ្នានេះ តួអង្គគំរាមកំហែងត្រូវបានបើកដំណើរការឆ្លងមេរោគជាច្រើននៅទូទាំងបណ្តាញក្នុងស្រុករបស់ជនរងគ្រោះ។

ខណៈពេលដែលវិធីសាស្រ្តជាក់លាក់ដែលបានធ្វើឡើងដើម្បីរំលោភលើម៉ាស៊ីនមេអ៊ីមែល និងលំដាប់នៃការវាយប្រហារដែលប្រើដើម្បីដាក់ពង្រាយ OpenCarrot នៅតែមិនបង្ហាញនោះ វាត្រូវបានទទួលស្គាល់ថា ScarCruft ជាញឹកញាប់ប្រើប្រាស់យុទ្ធសាស្ត្រវិស្វកម្មសង្គមនៅក្នុងគម្រោងបន្លំដើម្បីបញ្ឆោតជនរងគ្រោះ និងផ្តល់ការលាក់បាំងដូចជា RokRat ជាដើម។

លើសពីនេះ ការវិភាគហ្មត់ចត់នៃហេដ្ឋារចនាសម្ព័ន្ធនៃការវាយប្រហារបានបង្ហាញពីអត្ថិភាពនៃដែនចំនួនពីរ៖ centos-packages[.]com និង redhat-packages[.]com ។ ដែនទាំងនេះមានភាពស្រដៀងគ្នាយ៉ាងខ្លាំងទៅនឹងឈ្មោះដែលប្រើប្រាស់ដោយអ្នកគំរាមកំហែងក្នុងអំឡុងពេលការ hack JumpCloud ដែលបានកើតឡើងនៅក្នុងខែមិថុនា ឆ្នាំ 2023។

OpenCarrot បង្ហាញពីការបង្រួបបង្រួមដ៏កម្រនៃក្រុម APT កូរ៉េខាងជើង (កម្រិតខ្ពស់ការគំរាមកំហែងជាប់លាប់)

ទាំង ScarCruft (ត្រូវបានគេស្គាល់ផងដែរថាជា APT37) និង Lazarus Group ចែករំលែកទំនាក់ទំនងជាមួយកូរ៉េខាងជើង។ ទោះជាយ៉ាងណាក៏ដោយ ScarCruft ត្រូវបានគេជឿថាស្ថិតនៅក្រោមការត្រួតពិនិត្យរបស់ក្រសួងសន្តិសុខរដ្ឋ (MSS) ។ ផ្ទុយទៅវិញ ក្រុម Lazarus Group សន្មត់ថាប្រតិបត្តិការនៅក្នុង Lab 110 ដែលជាក្រុមនៃការិយាល័យ Reconnaissance General Bureau (RGB) ដែលបម្រើការជាសេវាស៊ើបការណ៍សម្ងាត់បរទេសចម្បងរបស់ប្រទេស។

ការវាយប្រហារ OpenCarrot គឺជាកិច្ចសហការដ៏គួរឱ្យកត់សម្គាល់មួយ ដែលក្រុមសកម្មភាពគំរាមកំហែងឯករាជ្យដែលទាក់ទងកូរ៉េខាងជើងដាច់ដោយឡែកពីរបានដឹកនាំកិច្ចខិតខំប្រឹងប្រែងរបស់ពួកគេឆ្ពោះទៅរកគោលដៅដូចគ្នា។ ការបង្រួបបង្រួមនេះបង្ហាញពីបេសកកម្មចារកម្មជាយុទ្ធសាស្ត្រដែលមានការជាប់ពាក់ព័ន្ធយ៉ាងសំខាន់ ដែលប្រហែលជាមានបំណងផ្តល់អត្ថប្រយោជន៍ដល់កម្មវិធីមីស៊ីលដ៏ចម្រូងចម្រាសរបស់កូរ៉េខាងជើង។

ជាការពិតណាស់ ប្រតិបត្តិការ OpenCarrot បម្រើជាឧទាហរណ៍ដ៏គួរឱ្យទាក់ទាញនៃគំនិតផ្តួចផ្តើមសកម្មរបស់កូរ៉េខាងជើង ដើម្បីជំរុញគោលដៅអភិវឌ្ឍន៍មីស៊ីលរបស់ខ្លួនដោយអចេតនា។ នេះបង្ហាញឱ្យឃើញតាមរយៈការសម្រេចចិត្តក្នុងការសម្របសម្រួលដោយផ្ទាល់នូវអ្វីដែលត្រូវបានចាត់ទុកថាជាស្ថាប័នការពារជាតិ-ឧស្សាហកម្មដ៏លេចធ្លោ (DIB) របស់រុស្ស៊ី។