Kortingen op meerdere licenties
Threat Database Malware Open Carrot-achterdeur

Open Carrot-achterdeur

Tegen Mezo in Malware, Advanced Persistent Threat (APT), Backdoors
Vertalen naar:
Nederlands

Door de staat gesponsorde hackers waarvan wordt aangenomen dat ze verbonden zijn met Noord-Korea, hebben gevoelige interne IT-infrastructuur gecompromitteerd, met opmerkelijke voorbeelden, waaronder het compromitteren van een e-mailserver en de implementatie van een Windows-achterdeur die bekend staat als OpenCarrot. De cyberaanvallers waren specifiek gericht op NPO Mashinostroyeniya, een vooraanstaand Russisch rakettechnisch bedrijf.

De inbreuk op de Linux-e-mailserver wordt toegeschreven aan de hackgroep ScarCruft . De Windows-achterdeur, OpenCarrot, is echter eerder in verband gebracht met de Lazarus Group , waarbij de eerste aanvallen die deze gebruikten medio mei 2022 werden gedetecteerd door cyberbeveiligingsexperts.

NPO Mashinostroyeniya, gevestigd in Reutov, is een raketontwerpbureau dat sinds juli 2014 te maken heeft gehad met sancties van het Amerikaanse ministerie van Financiën. De sancties werden opgelegd vanwege de connectie van het bureau met 'de voortdurende pogingen van Rusland om Oost-Oekraïne te destabiliseren en de voortdurende bezetting van de Krim'.

De OpenCarrot-achterdeur heeft een uitgebreide reeks bedreigende functies

OpenCarrot is ontworpen als een Windows dynamic-link library (DLL) en biedt ondersteuning voor meer dan 25 verschillende commando's. Deze commando's vergemakkelijken activiteiten zoals verkenning, manipulatie van bestandssystemen en processen en het beheer van verschillende communicatiemethoden. Het brede scala aan functies in OpenCarrot is voldoende voor de aanvallers om volledige controle te krijgen over de gecompromitteerde machines. Tegelijkertijd worden de bedreigingsactoren in staat gesteld om meerdere infecties uit te voeren over het lokale netwerk van het slachtoffer.

Hoewel de specifieke aanpak die is gevolgd om de e-mailserver te doorbreken en de aanvalsvolgorde die wordt gebruikt om OpenCarrot in te zetten, niet openbaar wordt gemaakt, wordt erkend dat ScarCruft vaak social engineering-tactieken gebruikt in phishing-schema's om slachtoffers te misleiden en achterdeurtjes zoals RokRat te leveren.

Bovendien heeft een grondige analyse van de aanvalsinfrastructuur het bestaan van twee domeinen onthuld: centos-packages[.]com en redhat-packages[.]com. Deze domeinen vertonen een grote gelijkenis met de namen die door de bedreigingsactoren werden gebruikt tijdens de JumpCloud-hack die plaatsvond in juni 2023.

OpenCarrot toont een zeldzame convergentie van Noord-Koreaanse APT-groepen (Advanced Persistent Threat)

Zowel ScarCruft (ook bekend als APT37) als de Lazarus Group hebben banden met Noord-Korea. Er wordt echter aangenomen dat ScarCruft onder de bevoegdheid van het Ministerie van Staatsveiligheid (MSS) valt. De Lazarus Group opereert daarentegen zogenaamd binnen Lab 110, een factie van het Reconnaissance General Bureau (RGB), dat dient als de belangrijkste buitenlandse inlichtingendienst van het land.

De OpenCarrot-aanval markeert een opmerkelijke samenwerking waarbij twee verschillende, aan Noord-Korea gekoppelde, onafhankelijke clusters van dreigingsactiviteiten hun inspanningen op hetzelfde doel hebben gericht. Deze convergentie suggereert een strategische spionagemissie met aanzienlijke implicaties, mogelijk bedoeld om het omstreden raketprogramma van Noord-Korea ten goede te komen.

De OpenCarrot-operatie dient inderdaad als een overtuigend voorbeeld van de proactieve initiatieven van Noord-Korea om zijn doelstellingen voor de ontwikkeling van raketten heimelijk te bevorderen. Dit blijkt duidelijk uit de beslissing om rechtstreeks een compromis te sluiten met wat wordt beschouwd als een prominente organisatie van de Russische Defensie-Industriële Basis (DIB).

Trending

Meest bekeken

Bezig met laden...