OpenCarrot Backdoor

Valsts sponsorēti hakeri, kas, domājams, ir saistīti ar Ziemeļkoreju, ir apdraudējuši sensitīvu iekšējo IT infrastruktūru, tostarp e-pasta servera kompromitēšanu un Windows aizmugures durvju, kas pazīstamas kā OpenCarrot, izvietošanu. Kiberuzbrucēji īpaši vērsās pret NPO Mashinostroyeniya, ievērojamu Krievijas raķešu inženierijas uzņēmumu.

Pārkāpums, kas saistīts ar Linux e-pasta serveri, tika attiecināts uz hakeru grupu ScarCruft . Tomēr Windows aizmugures durvis OpenCarrot iepriekš tika saistītas ar Lazarus Group , un pirmos uzbrukumus, kas to izmantoja, kiberdrošības eksperti atklāja 2022. gada maija vidū.

Reutovā esošais NPO Mashinostroyeniya ir raķešu projektēšanas birojs, pret kuru kopš 2014. gada jūlija ir vērstas ASV Finanšu ministrijas sankcijas. Šīs sankcijas tika noteiktas, jo birojs ir saistīts ar “Krievijas nepārtrauktajiem mēģinājumiem destabilizēt Austrumukrainu un tās pastāvīgo Krimas okupāciju”.

OpenCarrot Backdoor ir plašs draudīgu funkciju klāsts

OpenCarrot ir izstrādāta kā Windows dinamisko saišu bibliotēka (DLL) un piedāvā atbalstu vairāk nekā 25 atšķirīgām komandām. Šīs komandas atvieglo tādas darbības kā izlūkošana, manipulācijas ar failu sistēmām un procesiem un dažādu komunikācijas metožu pārvaldību. Plašais OpenCarrot funkciju klāsts ir pietiekams, lai uzbrucēji izveidotu pilnīgu kontroli pār kompromisa mašīnām. Tajā pašā laikā apdraudējuma dalībniekiem ir iespēja veikt vairākas infekcijas upura lokālajā tīklā.

Lai gan īpašā pieeja, kas izmantota e-pasta servera pārkāpšanai, un OpenCarrot izvietošanai izmantotā uzbrukuma secība joprojām netiek atklāta, ir atzīts, ka ScarCruft pikšķerēšanas shēmās bieži izmanto sociālās inženierijas taktiku, lai apmānītu upurus un nodrošinātu aizmugures durvis, piemēram, RokRat .

Turklāt rūpīga uzbrukuma infrastruktūras analīze atklāja divu domēnu esamību: centos-packages[.]com un redhat-packages[.]com. Šiem domēniem ir būtiska līdzība ar nosaukumiem, ko izmantoja apdraudējuma dalībnieki JumpCloud uzlaušanas laikā, kas notika 2023. gada jūnijā.

OpenCarrot parāda retu Ziemeļkorejas APT (uzlabotu pastāvīgu draudu) grupu konverģenci

Gan ScarCruft (pazīstams arī kā APT37), gan Lazarus grupai ir saites ar Ziemeļkoreju. Tomēr tiek uzskatīts, ka ScarCruft ir Valsts drošības ministrijas (VDD) kompetencē. Turpretim Lazarus grupa it kā darbojas Lab 110, Reconnaissance General Bureau (RGB) frakcijā, kas kalpo kā valsts galvenais ārvalstu izlūkošanas dienests.

OpenCarrot uzbrukums iezīmē ievērojamu sadarbību, kurā divas atšķirīgas ar Ziemeļkoreju saistītas neatkarīgas draudu aktivitāšu kopas ir virzījušas savus centienus uz vienu un to pašu mērķi. Šī konverģence liecina par stratēģisku spiegošanas misiju ar ievērojamām sekām, kas, iespējams, ir paredzētas Ziemeļkorejas strīdīgajai raķešu programmai.

Patiešām, OpenCarrot operācija kalpo kā pārliecinošs piemērs Ziemeļkorejas proaktīvajām iniciatīvām, lai slepeni virzītu uz priekšu savus raķešu attīstības mērķus. Tas ir acīmredzams ar lēmumu tieši kompromitēt to, kas tiek uzskatīta par ievērojamu Krievijas Aizsardzības-industriālās bāzes (DIB) organizāciju.