OpenCarrot Backdoor

Hackers patrocinados pelo Estado que se acredita estarem conectados à Coreia do Norte comprometeram a infraestrutura de TI interna sensível, com casos notáveis, incluindo o comprometimento de um servidor de e-mail e a implantação de um backdoor do Windows conhecido como OpenCarrot. Os ciberataques visaram especificamente a NPO Mashinostroyeniya, uma proeminente empresa russa de engenharia de mísseis.

A violação envolvendo o servidor de e-mail Linux foi atribuída ao grupo de hackers ScarCruft. No entanto, o backdoor do Windows, OpenCarrot, foi anteriormente associado ao Lazarus Group, com os primeiros ataques usando-o sendo detectados por especialistas em segurança cibernética em meados de maio de 2022.

Situada em Reutov, a NPO Mashinostroyeniya é uma agência de projetos de foguetes que enfrenta sanções do Departamento do Tesouro dos EUA desde julho de 2014. As sanções foram impostas devido à conexão da agência com as "tentativas contínuas da Rússia de desestabilizar o leste da Ucrânia e sua ocupação contínua da Crimeia".

O OpenCarrot Backdoor Possui uma AmplaGama de Funções Ameaçadoras

O OpenCarrot foi projetado como uma biblioteca de vínculo dinâmico (DLL) do Windows e oferece suporte para mais de 25 comandos distintos. Esses comandos facilitam atividades como reconhecimento, manipulação de sistemas de arquivos e processos e o gerenciamento de vários métodos de comunicação. A ampla gama de funções encontradas no OpenCarrot são suficientes para que os invasores estabeleçam controle total sobre as máquinas comprometidas. Ao mesmo tempo, os agentes de ameaças podem realizar várias infecções na rede local da vítima.

Embora a abordagem específica adotada para violar o servidor de e-mail e a sequência de ataque usada para implantar o OpenCarrot permaneçam não divulgadas, reconhece-se que o ScarCruft frequentemente utiliza táticas de engenharia social em esquemas de phishing para enganar as vítimas e fornecer backdoors como o RokRat.

Além disso, uma análise completa da infraestrutura de ataque revelou a existência de dois domínios: centos-packages[.]com e redhat-packages[.]com. Esses domínios têm uma semelhança significativa com os nomes utilizados pelos agentes de ameaças durante o hack do JumpCloud ocorrido em junho de 2023.

O OpenCarrot Mostra uma Rara Convergência de Grupos APT (Ameaça Persistente Avançada) Norte-Coreanos

Ambos ScarCruft (também conhecido como APT37) e Lazarus Group compartilham laços com a Coreia do Norte. No entanto, acredita-se que o ScarCruft esteja sob a alçada do Ministério da Segurança do Estado (MSS). Em contraste, o Lazarus Group supostamente opera dentro do Lab 110, uma facção do Reconnaissance General Bureau (RGB), que serve como o principal serviço de inteligência estrangeira do país.

O ataque OpenCarrot marca uma colaboração notável em que dois grupos distintos de atividades de ameaças independentes, vinculados à Coreia do Norte, direcionaram seus esforços para o mesmo alvo. Essa convergência sugere uma missão de espionagem estratégica com implicações significativas, possivelmente destinada a beneficiar o contencioso programa de mísseis da Coreia do Norte.

De fato, a operação OpenCarrot serve como um exemplo convincente das iniciativas proativas da Coréia do Norte para avançar sub-repticiamente em seus objetivos de desenvolvimento de mísseis. Isso é evidente através da decisão de comprometer diretamente o que é considerado uma importante organização da Base Industrial de Defesa Russa (DIB).