Бекдор OpenCarrot

Спонсоровані державою хакери, які, ймовірно, пов’язані з Північною Кореєю, зламали чутливу внутрішню ІТ-інфраструктуру, серед помітних випадків – зламаний сервер електронної пошти та розгортання бекдору Windows, відомого як OpenCarrot. Цілями кіберзловмисників була НПО Машинобудування, відома російська ракетобудівна компанія.

Порушення, пов'язане з сервером електронної пошти Linux, приписують хакерській групі ScarCruft . Однак бекдор Windows, OpenCarrot, раніше асоціювався з Lazarus Group , і перші атаки з його використанням були виявлені експертами з кібербезпеки в середині травня 2022 року.

Розташоване в Реутові НВО Машинобудування є ракетно-конструкторським бюро, яке зіткнулося з санкціями Міністерства фінансів США з липня 2014 року. Санкції були введені через зв’язок бюро з «продовженням спроб Росії дестабілізувати східну Україну та її триваючою окупацією Криму».

Бекдор OpenCarrot має широкий набір загрозливих функцій

OpenCarrot розроблений як бібліотека динамічного компонування Windows (DLL) і пропонує підтримку для більш ніж 25 різних команд. Ці команди полегшують такі дії, як розвідка, маніпулювання файловими системами та процесами, а також керування різними методами зв’язку. Широкого спектру функцій OpenCarrot достатньо, щоб зловмисники могли встановити повний контроль над компрометованими машинами. У той же час зловмисники можуть здійснювати численні зараження через локальну мережу жертви.

Хоча конкретний підхід, застосований для злому сервера електронної пошти, і послідовність атак, використаних для розгортання OpenCarrot, залишаються нерозкритими, визнається, що ScarCruft часто використовує тактику соціальної інженерії у фішингових схемах, щоб обдурити жертв і створити бекдори, такі як RokRat .

Крім того, ретельний аналіз інфраструктури атак виявив існування двох доменів: centos-packages[.]com і redhat-packages[.]com. Ці домени мають значну схожість з іменами, які використовували зловмисники під час злому JumpCloud, який стався в червні 2023 року.

OpenCarrot демонструє рідкісну конвергенцію північнокорейських груп APT (Advanced Persistent Threat)

І ScarCruft (також відомий як APT37), і Lazarus Group мають спільні зв’язки з Північною Кореєю. Однак вважається, що ScarCruft належить до компетенції Міністерства державної безпеки (MSS). На противагу цьому, група Lazarus нібито діє в Лабораторії 110, фракції Головного розвідувального бюро (RGB), яка є основною службою зовнішньої розвідки країни.

Атака OpenCarrot знаменує варту уваги співпрацю, у якій два різні незалежні кластери загроз, пов’язані з Північною Кореєю, спрямували свої зусилля на одну мету. Це зближення свідчить про стратегічну шпигунську місію зі значними наслідками, яка, ймовірно, спрямована на користь спірної ракетної програми Північної Кореї.

Дійсно, операція OpenCarrot служить переконливим прикладом проактивних ініціатив Північної Кореї щодо таємного просування своїх цілей розробки ракет. Це очевидно через рішення прямо скомпрометувати те, що вважається видатною організацією Російської оборонно-промислової бази (DIB).