Åpne gulrot bakdør

Statssponsede hackere som antas å være koblet til Nord-Korea har kompromittert sensitiv intern IT-infrastruktur, med bemerkelsesverdige tilfeller inkludert kompromittering av en e-postserver og utplassering av en Windows-bakdør kjent som OpenCarrot. Cyberangriperne målrettet spesifikt NPO Mashinostroyeniya, et fremtredende russisk missilingeniørfirma.

Bruddet som involverer Linux-e-postserveren har blitt tilskrevet hackergruppen ScarCruft . Windows-bakdøren, OpenCarrot, har imidlertid tidligere vært assosiert med Lazarus Group , med de første angrepene med den ble oppdaget av cybersikkerhetseksperter i midten av mai 2022.

NPO Mashinostroyeniya ligger i Reutov, og er et rakettdesignbyrå som har vært utsatt for sanksjoner fra det amerikanske finansdepartementet siden juli 2014. Sanksjonene ble innført på grunn av byråets forbindelse til 'Russlands fortsatte forsøk på å destabilisere det østlige Ukraina og dets pågående okkupasjon av Krim'.

OpenCarrot-bakdøren har et omfattende utvalg av truende funksjoner

OpenCarrot er designet som et Windows dynamic-link library (DLL) og tilbyr støtte for mer enn 25 forskjellige kommandoer. Disse kommandoene letter aktiviteter som rekognosering, manipulering av filsystemer og prosesser, og styring av ulike kommunikasjonsmetoder. Det brede spekteret av funksjoner som finnes i OpenCarrot er nok til at angriperne kan etablere full kontroll over kompromissmaskinene. Samtidig settes trusselaktørene i stand til å utføre flere infeksjoner på tvers av offerets lokale nettverk.

Mens den spesifikke tilnærmingen som brukes for å bryte e-postserveren og angrepssekvensen som brukes til å distribuere OpenCarrot forblir ukjent, erkjennes det at ScarCruft ofte bruker sosial ingeniørtaktikk i phishing-opplegg for å lure ofre og levere bakdører som RokRat .

Videre har en grundig analyse av angrepsinfrastrukturen avslørt eksistensen av to domener: centos-packages[.]com og redhat-packages[.]com. Disse domenene har en betydelig likhet med navnene som ble brukt av trusselaktørene under JumpCloud-hakket som skjedde i juni 2023.

OpenCarrot viser en sjelden konvergens av nord-koreanske APT-grupper (Advanced Persistent Threat)

Både ScarCruft (også kjent som APT37) og Lazarus Group deler bånd til Nord-Korea. Imidlertid antas ScarCruft å falle inn under departementet for statssikkerhet (MSS). Derimot opererer Lazarus Group visstnok innenfor Lab 110, en fraksjon av Reconnaissance General Bureau (RGB), som fungerer som landets primære utenlandske etterretningstjeneste.

OpenCarrot-angrepet markerer et bemerkelsesverdig samarbeid der to distinkte Nord-Korea-tilknyttede uavhengige trusselaktivitetsklynger har rettet sin innsats mot det samme målet. Denne konvergensen antyder et strategisk spionasjeoppdrag med betydelige implikasjoner, muligens ment å være til fordel for Nord-Koreas omstridte missilprogram.

Faktisk fungerer OpenCarrot-operasjonen som et overbevisende eksempel på Nord-Koreas proaktive initiativer for å fremme sine missilutviklingsmål i det skjulte. Dette er tydelig gjennom beslutningen om å direkte kompromittere det som anses å være en fremtredende russisk forsvarsindustribase (DIB) organisasjon.