OpenCarrot 백도어

북한과 관련이 있는 것으로 추정되는 국가 지원 해커는 민감한 내부 IT 인프라를 손상시켰으며, 이메일 서버 손상과 OpenCarrot로 알려진 Windows 백도어 배포를 포함하는 주목할만한 사례가 있습니다. 사이버 공격자들은 특히 러시아의 저명한 미사일 엔지니어링 회사인 NPO Mashinostroyeniya를 표적으로 삼았습니다.

Linux 이메일 서버와 관련된 위반은 해킹 그룹 ScarCruft 에 기인합니다. 그러나 Windows 백도어인 OpenCarrot은 이전에 Lazarus Group 과 관련이 있었으며 이를 사용한 첫 번째 공격은 2022년 5월 중순 사이버 보안 전문가에 의해 탐지되었습니다.

로이토프에 위치한 NPO Mashinostroyeniya는 2014년 7월부터 미국 재무부의 제재에 직면한 로켓 설계국입니다. 이 제재는 '동우크라이나를 불안정하게 만들려는 러시아의 지속적인 시도와 크림 반도의 지속적인 점령'에 대한 국의 연결 때문에 부과되었습니다.

OpenCarrot 백도어는 광범위한 위협 기능을 보유하고 있습니다.

OpenCarrot은 Windows 동적 연결 라이브러리(DLL)로 설계되었으며 25개 이상의 개별 명령을 지원합니다. 이러한 명령은 정찰, 파일 시스템 및 프로세스 조작, 다양한 통신 방법 관리와 같은 활동을 용이하게 합니다. OpenCarrot에서 발견되는 다양한 기능은 공격자가 손상 시스템에 대한 완전한 제어를 설정하기에 충분합니다. 동시에 공격자는 피해자의 로컬 네트워크 전체에 여러 번 감염시킬 수 있습니다.

이메일 서버를 침해하기 위해 취한 구체적인 접근 방식과 OpenCarrot을 배포하는 데 사용된 공격 순서는 공개되지 않았지만 ScarCruft는 피해자를 속이고 RokRat 과 같은 백도어를 전달하기 위해 피싱 수법에서 사회 공학 전술을 자주 사용하는 것으로 알려져 있습니다.

또한 공격 인프라에 대한 철저한 분석을 통해 centos-packages[.]com 및 redhat-packages[.]com이라는 두 도메인의 존재가 밝혀졌습니다. 이러한 도메인은 2023년 6월에 발생한 JumpCloud 해킹 중에 공격자가 사용한 이름과 상당히 유사합니다.

OpenCarrot, 북한 APT(Advanced Persistent Threat) 그룹의 드문 수렴을 보여줌

ScarCruft(APT37이라고도 함)와 Lazarus Group은 모두 북한과 관련이 있습니다. 그러나 ScarCruft는 국가안전보위부(MSS)의 소관으로 여겨진다. 대조적으로, Lazarus Group은 미국의 주요 해외 정보 서비스 역할을 하는 정찰총국(RGB)의 파벌인 Lab 110 내에서 운영되는 것으로 추정됩니다.

OpenCarrot 공격은 북한과 연결된 두 개의 별개의 독립적인 위협 활동 클러스터가 동일한 목표를 향해 노력한 주목할만한 협력을 의미합니다. 이러한 수렴은 북한의 논쟁적인 미사일 프로그램에 도움이 될 수 있는 중요한 의미를 지닌 전략적 스파이 임무를 암시합니다.

실제로 OpenCarrot 작전은 은밀하게 미사일 개발 목표를 달성하기 위한 북한의 능동적인 이니셔티브를 보여주는 설득력 있는 사례입니다. 이것은 저명한 러시아 방위 산업 기지(DIB) 조직으로 간주되는 것을 직접 손상시키기로 한 결정을 통해 분명합니다.