OpenCarrot Backdoor
Ang mga hacker na inisponsor ng estado na pinaniniwalaang konektado sa North Korea ay nakompromiso ang sensitibong panloob na imprastraktura ng IT, na may mga kapansin-pansing pagkakataon kabilang ang kompromiso ng isang email server at ang pag-deploy ng isang backdoor ng Windows na kilala bilang OpenCarrot. Partikular na pinuntirya ng mga cyber attacker ang NPO Mashinostroyeniya, isang kilalang kumpanya ng Russian missile engineering.
Ang paglabag na kinasasangkutan ng Linux email server ay naiugnay sa pangkat ng pag-hack na ScarCruft . Gayunpaman, ang backdoor ng Windows, OpenCarrot, ay dating nauugnay sa Lazarus Group , kung saan ang mga unang pag-atake na gumagamit nito ay natukoy ng mga eksperto sa cybersecurity noong kalagitnaan ng Mayo 2022.
Matatagpuan sa Reutov, ang NPO Mashinostroyeniya ay isang rocket design bureau na nahaharap sa mga parusa mula sa US Treasury Department mula noong Hulyo 2014. Ang mga parusa ay ipinataw dahil sa koneksyon ng bureau sa 'patuloy na pagtatangka ng Russia na i-destabilize ang silangang Ukraine at ang patuloy na pananakop nito sa Crimea.'
Ang OpenCarrot Backdoor ay Nagtataglay ng Malawak na Array ng Mga Pagbabantang Function
Idinisenyo ang OpenCarrot bilang isang Windows dynamic-link library (DLL) at nag-aalok ng suporta para sa higit sa 25 natatanging command. Ang mga utos na ito ay nagpapadali sa mga aktibidad tulad ng reconnaissance, pagmamanipula ng mga file system at proseso, at pamamahala ng iba't ibang paraan ng komunikasyon. Ang malawak na hanay ng mga function na makikita sa OpenCarrot ay sapat na para sa mga umaatake na magkaroon ng kumpletong kontrol sa mga makina ng kompromiso. Kasabay nito, ang mga banta ng aktor ay pinagana na magsagawa ng maraming impeksyon sa buong lokal na network ng biktima.
Habang ang partikular na diskarte na ginawa upang labagin ang email server at ang pagkakasunud-sunod ng pag-atake na ginamit sa pag-deploy ng OpenCarrot ay nananatiling hindi isiniwalat, kinikilala na ang ScarCruft ay madalas na gumagamit ng mga taktika ng social engineering sa mga scheme ng phishing upang linlangin ang mga biktima at maghatid ng mga backdoor gaya ng RokRat .
Higit pa rito, ang isang masusing pagsusuri sa imprastraktura ng pag-atake ay nagpakita ng pagkakaroon ng dalawang domain: centos-packages[.]com at redhat-packages[.]com. Ang mga domain na ito ay may malaking pagkakahawig sa mga pangalan na ginamit ng mga aktor ng pagbabanta sa panahon ng pag-hack ng JumpCloud na naganap noong Hunyo 2023.
Nagpapakita ang OpenCarrot ng Rare Convergence ng North-Korean APT (Advanced Persistent Threat) Groups
Ang ScarCruft (kilala rin bilang APT37) at ang Lazarus Group ay nagbabahagi ng ugnayan sa North Korea. Gayunpaman, ang ScarCruft ay pinaniniwalaang nasa ilalim ng saklaw ng Ministry of State Security (MSS). Sa kabaligtaran, ang Lazarus Group ay parang nagpapatakbo sa loob ng Lab 110, isang paksyon ng Reconnaissance General Bureau (RGB), na nagsisilbing pangunahing foreign intelligence service ng bansa.
Ang pag-atake ng OpenCarrot ay nagmamarka ng isang kapansin-pansing pakikipagtulungan kung saan ang dalawang natatanging grupo ng aktibidad ng independiyenteng pagbabanta na nauugnay sa North Korea ay itinuro ang kanilang mga pagsisikap patungo sa parehong target. Ang convergence na ito ay nagmumungkahi ng isang strategic espionage mission na may makabuluhang implikasyon, na posibleng nilayon upang makinabang ang pinagtatalunang programa ng missile ng North Korea.
Sa katunayan, ang operasyon ng OpenCarrot ay nagsisilbing isang nakakahimok na halimbawa ng mga aktibong hakbangin ng Hilagang Korea upang palihim na isulong ang mga layunin ng pagpapaunlad ng misayl nito. Ito ay makikita sa pamamagitan ng desisyon na direktang ikompromiso ang itinuturing na isang kilalang Russian Defense-Industrial Base (DIB) na organisasyon.
