OpenCarrot Backdoor

Hackerii sponsorizați de stat despre care se crede că sunt conectați la Coreea de Nord au compromis infrastructura IT internă sensibilă, cu cazuri notabile inclusiv compromiterea unui server de e-mail și implementarea unei uși din spate Windows cunoscută sub numele de OpenCarrot. Atacatorii cibernetici au vizat în mod special NPO Mashinostroyeniya, o companie rusă proeminentă de inginerie de rachete.

Încălcarea care implică serverul de e-mail Linux a fost atribuită grupului de hacking ScarCruft . Cu toate acestea, ușa din spate Windows, OpenCarrot, a fost asociată anterior cu Grupul Lazarus , primele atacuri care îl folosesc fiind detectate de experții în securitate cibernetică la jumătatea lui mai 2022.

Situat în Reutov, NPO Mashinostroyeniya este un birou de proiectare de rachete care s-a confruntat cu sancțiuni din partea Departamentului de Trezorerie al SUA din iulie 2014. Sancțiunile au fost impuse datorită conexiunii biroului cu „încercările continue ale Rusiei de a destabiliza estul Ucrainei și ocuparea sa continuă a Crimeei”.

Ușa din spate OpenCarrot posedă o gamă extinsă de funcții amenințătoare

OpenCarrot este conceput ca o bibliotecă de linkuri dinamice (DLL) Windows și oferă suport pentru mai mult de 25 de comenzi distincte. Aceste comenzi facilitează activități precum recunoașterea, manipularea sistemelor și proceselor de fișiere și gestionarea diferitelor metode de comunicare. Gama largă de funcții găsite în OpenCarrot sunt suficiente pentru ca atacatorii să stabilească controlul complet asupra mașinilor de compromis. În același timp, actorii amenințărilor au posibilitatea de a efectua mai multe infecții în rețeaua locală a victimei.

În timp ce abordarea specifică adoptată pentru a încălca serverul de e-mail și secvența de atac folosită pentru a implementa OpenCarrot rămân nedezvăluite, este recunoscut faptul că ScarCruft utilizează frecvent tactici de inginerie socială în schemele de phishing pentru a păcăli victimele și a oferi uși din spate, cum ar fi RokRat .

Mai mult, o analiză amănunțită a infrastructurii de atac a dezvăluit existența a două domenii: centos-packages[.]com și redhat-packages[.]com. Aceste domenii au o asemănare semnificativă cu numele utilizate de actorii amenințărilor în timpul hack-ului JumpCloud care a avut loc în iunie 2023.

OpenCarrot arată o convergență rară a grupurilor APT (amenințare persistentă avansată) nord-coreeană

Atât ScarCruft (cunoscut și ca APT37), cât și Grupul Lazarus au legături cu Coreea de Nord. Cu toate acestea, se crede că ScarCruft intră în sfera de competență a Ministerului Securității Statului (MSS). În schimb, se presupune că Grupul Lazarus operează în cadrul Laboratorului 110, o facțiune a Biroului General de Recunoaștere (RGB), care servește ca principal serviciu de informații externe al țării.

Atacul OpenCarrot marchează o colaborare demnă de remarcat în care două grupuri de activități independente de amenințări legate de Coreea de Nord și-au îndreptat eforturile către aceeași țintă. Această convergență sugerează o misiune strategică de spionaj cu implicații semnificative, posibil menită să beneficieze programul contencios de rachete al Coreei de Nord.

Într-adevăr, operațiunea OpenCarrot servește ca un exemplu convingător al inițiativelor proactive ale Coreei de Nord de a-și promova obiectivele de dezvoltare a rachetelor în mod secret. Acest lucru este evident prin decizia de a compromite direct ceea ce este considerat a fi o organizație proeminentă a bazei industriale de apărare a Rusiei (DIB).