OpenCarrot 后门

据信与朝鲜有联系的国家资助黑客已经破坏了敏感的内部 IT 基础设施，其中值得注意的例子包括破坏电子邮件服务器和部署名为 OpenCarrot 的 Windows 后门。网络攻击者专门针对 NPO Mashinostroyeniya，一家著名的俄罗斯导弹工程公司。

涉及 Linux 电子邮件服务器的漏洞被归咎于黑客组织ScarCruft 。然而，Windows 后门 OpenCarrot 此前曾与Lazarus Group有关联，网络安全专家于 2022 年 5 月中旬检测到了首次使用该后门的攻击。

NPO Mashinostroyeniya 位于鲁托夫，是一家火箭设计局，自 2014 年 7 月以来一直面临美国财政部的制裁。实施制裁的原因是该局与“俄罗斯持续企图破坏乌克兰东部稳定并持续占领克里米亚”有关。

OpenCarrot 后门具有广泛的威胁功能

OpenCarrot 被设计为 Windows 动态链接库 (DLL)，并提供对超过 25 个不同命令的支持。这些命令有助于诸如侦察、文件系统和进程的操作以及各种通信方法的管理等活动。 OpenCarrot 中的广泛功能足以让攻击者完全控制受感染的机器。同时，威胁行为者能够在受害者的本地网络上进行多次感染。

虽然攻破电子邮件服务器所采取的具体方法以及用于部署 OpenCarrot 的攻击序列尚未公开，但人们承认 ScarCruft 经常在网络钓鱼计划中利用社会工程策略来欺骗受害者并提供RokRat等后门。

此外，对攻击基础设施的彻底分析揭示了两个域的存在：centos-packages[.]com 和 redhat-packages[.]com。这些域名与 2023 年 6 月发生的 JumpCloud 黑客攻击期间威胁行为者使用的名称非常相似。

OpenCarrot 显示朝鲜 APT（高级持续威胁）组织罕见的融合

ScarCruft（也称为 APT37）和 Lazarus 集团都与朝鲜有联系。然而，ScarCruft 被认为属于国家安全部 (MSS) 的管辖范围。相比之下，拉撒路集团据称在 110 实验室内运作，该实验室是侦察总局 (RGB) 的一个派系，该局是该国主要的外国情报机构。

OpenCarrot 攻击标志着一次值得注意的合作，其中两个与朝鲜相关的独立威胁活动集群将其努力指向同一目标。这种趋同表明这是一项具有重大影响的战略间谍任务，可能旨在使朝鲜有争议的导弹计划受益。

事实上，OpenCarrot 行动是朝鲜积极主动、秘密推进其导弹开发目标的一个令人信服的例子。通过直接损害被认为是著名的俄罗斯国防工业基地（DIB）组织的决定就可以明显看出这一点。