Бэкдор OpenCarrot

Спонсируемые государством хакеры, которые, как считается, связаны с Северной Кореей, взломали конфиденциальную внутреннюю ИТ-инфраструктуру, причем известные случаи включают взлом почтового сервера и развертывание бэкдора Windows, известного как OpenCarrot. Кибератаки были нацелены на НПО машиностроения, известную российскую ракетостроительную компанию.

Взлом почтового сервера Linux был приписан хакерской группе ScarCruft . Однако бэкдор Windows OpenCarrot ранее ассоциировался с Lazarus Group , а первые атаки с его использованием были обнаружены экспертами по кибербезопасности в середине мая 2022 года.

Расположенное в Реутове НПО машиностроения — конструкторское бюро ракетостроения, которое с июля 2014 года столкнулось с санкциями Министерства финансов США. Санкции были введены из-за связи бюро с «продолжающимися попытками России дестабилизировать восточную Украину и ее продолжающейся оккупацией Крыма».

Бэкдор OpenCarrot обладает обширным набором угрожающих функций

OpenCarrot разработан как библиотека динамической компоновки Windows (DLL) и предлагает поддержку более 25 различных команд. Эти команды облегчают такие действия, как разведка, манипулирование файловыми системами и процессами, а также управление различными методами связи. Широкий набор функций, имеющихся в OpenCarrot, достаточен для того, чтобы злоумышленники установили полный контроль над скомпрометированными машинами. В то же время злоумышленники получают возможность осуществлять множественные заражения в локальной сети жертвы.

Хотя конкретный подход, использованный для взлома сервера электронной почты, и последовательность атаки, используемая для развертывания OpenCarrot, остаются нераскрытыми, признано, что ScarCruft часто использует тактику социальной инженерии в схемах фишинга, чтобы обмануть жертв и доставить бэкдоры, такие как RokRat .

Кроме того, тщательный анализ инфраструктуры атаки выявил наличие двух доменов: centos-packages[.]com и redhat-packages[.]com. Эти домены имеют значительное сходство с именами, которые использовались злоумышленниками во время взлома JumpCloud, произошедшего в июне 2023 года.

OpenCarrot демонстрирует редкую конвергенцию северокорейских групп APT (Advanced Persistent Threat)

И ScarCruft (также известная как APT37), и Lazarus Group связаны с Северной Кореей. Однако считается, что ScarCruft находится в ведении Министерства государственной безопасности (MSS). Напротив, группа Лазаря предположительно действует в рамках Лаборатории 110, фракции Главного бюро разведки (РГБ), которая служит основной службой внешней разведки страны.

Атака OpenCarrot знаменует собой примечательное сотрудничество, в ходе которого два отдельных кластера активности угроз, связанных с Северной Кореей, направили свои усилия на одну и ту же цель. Это совпадение предполагает стратегическую шпионскую миссию со значительными последствиями, возможно, предназначенную для выгоды спорной ракетной программы Северной Кореи.

Действительно, операция OpenCarrot служит убедительным примером активной инициативы Северной Кореи по тайному продвижению своих целей по разработке ракет. Об этом свидетельствует решение напрямую скомпрометировать организацию, которая считается известной российской оборонно-промышленной базой (ОПБ).