OpenCarrot Backdoor

Penggodam tajaan kerajaan yang dipercayai disambungkan ke Korea Utara telah menjejaskan infrastruktur IT dalaman yang sensitif, dengan contoh ketara termasuk kompromi pelayan e-mel dan penggunaan pintu belakang Windows yang dikenali sebagai OpenCarrot. Penyerang siber secara khusus menyasarkan NPO Mashinostroyeniya, sebuah syarikat kejuruteraan peluru berpandu terkemuka Rusia.

Pelanggaran yang melibatkan pelayan e-mel Linux telah dikaitkan dengan kumpulan penggodaman ScarCruft . Walau bagaimanapun, pintu belakang Windows, OpenCarrot, sebelum ini telah dikaitkan dengan Kumpulan Lazarus , dengan serangan pertama menggunakannya dikesan oleh pakar keselamatan siber pada pertengahan Mei 2022.

Terletak di Reutov, NPO Mashinostroyeniya ialah biro reka bentuk roket yang telah menghadapi sekatan daripada Jabatan Perbendaharaan AS sejak Julai 2014. Sekatan itu dikenakan kerana kaitan biro itu dengan 'percubaan berterusan Rusia untuk menggugat kestabilan timur Ukraine dan pendudukan Crimea yang berterusan.'

Pintu Belakang OpenCarrot Mempunyai Pelbagai Fungsi Mengancam

OpenCarrot direka bentuk sebagai perpustakaan pautan dinamik Windows (DLL) dan menawarkan sokongan untuk lebih daripada 25 arahan yang berbeza. Arahan ini memudahkan aktiviti seperti peninjauan, manipulasi sistem dan proses fail, dan pengurusan pelbagai kaedah komunikasi. Pelbagai fungsi yang terdapat dalam OpenCarrot sudah cukup untuk penyerang untuk mewujudkan kawalan penuh ke atas mesin kompromi. Pada masa yang sama, pelaku ancaman didayakan untuk menjalankan pelbagai jangkitan merentasi rangkaian tempatan mangsa.

Walaupun pendekatan khusus yang diambil untuk melanggar pelayan e-mel dan urutan serangan yang digunakan untuk menggunakan OpenCarrot masih tidak didedahkan, diakui bahawa ScarCruft kerap menggunakan taktik kejuruteraan sosial dalam skim pancingan data untuk menipu mangsa dan menghantar pintu belakang seperti RokRat .

Tambahan pula, analisis menyeluruh terhadap infrastruktur serangan telah mendedahkan kewujudan dua domain: centos-packages[.]com dan redhat-packages[.]com. Domain ini mempunyai persamaan yang ketara dengan nama yang digunakan oleh pelakon ancaman semasa penggodam JumpCloud yang berlaku pada Jun 2023.

OpenCarrot Menunjukkan Konvergensi Jarang Kumpulan APT (Ancaman Berterusan Lanjutan) Korea Utara

Kedua-dua ScarCruft (juga dikenali sebagai APT37) dan Kumpulan Lazarus berkongsi hubungan dengan Korea Utara. Bagaimanapun, ScarCruft dipercayai terletak di bawah bidang kuasa Kementerian Keselamatan Negara (MSS). Sebaliknya, Kumpulan Lazarus dikatakan beroperasi dalam Lab 110, sebuah puak Biro Am Peninjau (RGB), yang berfungsi sebagai perkhidmatan perisikan asing utama negara.

Serangan OpenCarrot menandakan kerjasama yang patut diberi perhatian di mana dua kluster aktiviti ancaman bebas berkaitan Korea Utara telah mengarahkan usaha mereka ke arah sasaran yang sama. Konvergensi ini mencadangkan misi pengintipan strategik dengan implikasi yang ketara, mungkin bertujuan untuk memanfaatkan program peluru berpandu kontroversi Korea Utara.

Malah, operasi OpenCarrot berfungsi sebagai contoh menarik bagi inisiatif proaktif Korea Utara untuk memajukan objektif pembangunan peluru berpandunya secara sembunyi-sembunyi. Ini terbukti melalui keputusan untuk berkompromi secara langsung dengan apa yang dianggap sebagai organisasi Pangkalan Industri Pertahanan Rusia (DIB) yang terkemuka.