AçıkHavuç Arka Kapısı

Kuzey Kore ile bağlantılı olduğuna inanılan devlet destekli bilgisayar korsanları, bir e-posta sunucusunun ele geçirilmesi ve OpenCarrot olarak bilinen bir Windows arka kapısının konuşlandırılması gibi dikkate değer örneklerle, hassas dahili BT altyapısını tehlikeye attı. Siber saldırganlar özellikle önde gelen bir Rus füze mühendisliği şirketi olan NPO Mashinostroyeniya'yı hedef aldı.

Linux e-posta sunucusunu içeren ihlal, ScarCruft bilgisayar korsanlığı grubuna atfedildi. Bununla birlikte, Windows arka kapısı OpenCarrot daha önce Lazarus Group ile ilişkilendirilmişti ve onu kullanan ilk saldırılar, 2022 Mayıs ayının ortalarında siber güvenlik uzmanları tarafından tespit edildi.

Reutov'da yer alan NPO Mashinostroyeniya, Temmuz 2014'ten bu yana ABD Hazine Bakanlığı'nın yaptırımlarıyla karşı karşıya olan bir roket tasarım bürosudur. Yaptırımlar, büronun 'Rusya'nın Doğu Ukrayna'yı istikrarsızlaştırmaya yönelik devam eden girişimleri ve devam eden Kırım işgali' ile bağlantısı nedeniyle uygulandı.

OpenCarrot Arka Kapısı Kapsamlı Bir Tehdit İşlevleri Dizisine Sahiptir

OpenCarrot, bir Windows dinamik bağlantı kitaplığı (DLL) olarak tasarlanmıştır ve 25'ten fazla farklı komut için destek sunar. Bu komutlar, keşif, dosya sistemleri ve süreçlerinin manipülasyonu ve çeşitli iletişim yöntemlerinin yönetimi gibi faaliyetleri kolaylaştırır. OpenCarrot'ta bulunan geniş işlev yelpazesi, saldırganların ele geçirilen makineler üzerinde tam kontrol sağlamaları için yeterlidir. Aynı zamanda, tehdit aktörlerinin kurbanın yerel ağında birden fazla enfeksiyon gerçekleştirmesi sağlanır.

E-posta sunucusunu ihlal etmek için izlenen özel yaklaşım ve OpenCarrot'u dağıtmak için kullanılan saldırı dizisi açıklanmamakla birlikte, ScarCruft'un kurbanları kandırmak ve RokRat gibi arka kapılar sağlamak için kimlik avı planlarında sıklıkla sosyal mühendislik taktiklerini kullandığı kabul edilmektedir.

Ayrıca, saldırı altyapısının kapsamlı bir analizi, iki etki alanının varlığını ortaya çıkardı: centos-packages[.]com ve redhat-packages[.]com. Bu alan adları, Haziran 2023'te gerçekleşen JumpCloud saldırısı sırasında tehdit aktörleri tarafından kullanılan adlarla önemli ölçüde benzerlik gösteriyor.

OpenCarrot, Kuzey Kore APT (Gelişmiş Kalıcı Tehdit) Gruplarının Nadir Bir Yakınsamasını Gösteriyor

Hem ScarCruft (APT37 olarak da bilinir) hem de Lazarus Group, Kuzey Kore ile ortak bağlara sahiptir. Ancak ScarCruft'un Devlet Güvenlik Bakanlığı'nın (MSS) yetki alanına girdiğine inanılıyor. Buna karşılık, Lazarus Grubu'nun ülkenin birincil dış istihbarat servisi olarak hizmet veren Genel Keşif Bürosu'nun (RGB) bir fraksiyonu olan Lab 110 içinde faaliyet gösterdiği iddia ediliyor.

OpenCarrot saldırısı, Kuzey Kore bağlantılı iki farklı bağımsız tehdit faaliyeti kümesinin çabalarını aynı hedefe yönelttiği kayda değer bir işbirliğine işaret ediyor. Bu yakınlaşma, muhtemelen Kuzey Kore'nin çekişmeli füze programına fayda sağlamayı amaçlayan, önemli sonuçları olan stratejik bir casusluk misyonunu akla getiriyor.

Gerçekten de OpenCarrot operasyonu, Kuzey Kore'nin füze geliştirme hedeflerini gizlice ilerletmeye yönelik proaktif girişimlerinin ikna edici bir örneği olarak hizmet ediyor. Bu, önde gelen bir Rus Savunma-Sanayi Üssü (DIB) örgütü olarak kabul edilen bir teşkilata doğrudan taviz verme kararında açıkça görülüyor.