OpenCarrot Bakdörr

Statssponsrade hackare som tros vara anslutna till Nordkorea har äventyrat känslig intern IT-infrastruktur, med anmärkningsvärda fall inklusive kompromiss med en e-postserver och utplaceringen av en Windows-bakdörr känd som OpenCarrot. Cyberangriparna riktade sig specifikt mot NPO Mashinostroyeniya, ett framstående ryskt missilteknikföretag.

Intrånget som involverar Linux e-postserver har tillskrivits hackningsgruppen ScarCruft . Windows-bakdörren, OpenCarrot, har dock tidigare associerats med Lazarus-gruppen , och de första attackerna med den upptäcktes av cybersäkerhetsexperter i mitten av maj 2022.

NPO Mashinostroyeniya, som ligger i Reutov, är en raketdesignbyrå som har mötts av sanktioner från det amerikanska finansdepartementet sedan juli 2014. Sanktionerna infördes på grund av byråns koppling till "Rysslands fortsatta försök att destabilisera östra Ukraina och dess pågående ockupation av Krim".

OpenCarrot-bakdörren har ett omfattande utbud av hotfulla funktioner

OpenCarrot är designad som ett Windows dynamiskt länkbibliotek (DLL) och erbjuder stöd för mer än 25 distinkta kommandon. Dessa kommandon underlättar aktiviteter som spaning, manipulering av filsystem och processer samt hantering av olika kommunikationsmetoder. Det breda utbudet av funktioner som finns i OpenCarrot är tillräckligt för att angriparna ska kunna etablera fullständig kontroll över kompromissmaskinerna. Samtidigt möjliggörs hotaktörerna att utföra flera infektioner över offrets lokala nätverk.

Även om det specifika tillvägagångssättet som används för att bryta mot e-postservern och attacksekvensen som används för att distribuera OpenCarrot förblir okänd, är det erkänt att ScarCruft ofta använder social ingenjörsteknik i nätfiskesystem för att lura offer och leverera bakdörrar som RokRat .

Dessutom har en grundlig analys av attackinfrastrukturen avslöjat att det finns två domäner: centos-packages[.]com och redhat-packages[.]com. Dessa domäner har en betydande likhet med namnen som användes av hotaktörerna under JumpCloud-hacket som inträffade i juni 2023.

OpenCarrot visar en sällsynt konvergens av nordkoreanska APT-grupper (Advanced Persistent Threat)

Både ScarCruft (även känd som APT37) och Lazarus Group delar band med Nordkorea. ScarCruft tros dock falla under ministeriet för statlig säkerhet (MSS). Däremot verkar Lazarus-gruppen inom Lab 110, en fraktion av Reconnaissance General Bureau (RGB), som fungerar som landets primära utländska underrättelsetjänst.

OpenCarrot-attacken markerar ett anmärkningsvärt samarbete där två distinkta Nordkorea-kopplade oberoende hotaktivitetskluster har riktat sina ansträngningar mot samma mål. Denna konvergens antyder ett strategiskt spionageuppdrag med betydande implikationer, möjligen avsett att gynna Nordkoreas omstridda missilprogram.

Verkligen fungerar OpenCarrot-operationen som ett övertygande exempel på Nordkoreas proaktiva initiativ för att i smyg främja sina missilutvecklingsmål. Detta är uppenbart genom beslutet att direkt kompromissa med vad som anses vara en framstående rysk försvarsindustribasorganisation (DIB).