OpenCarrot 後門

據信與朝鮮有聯繫的國家資助黑客已經破壞了敏感的內部 IT 基礎設施，其中值得注意的例子包括破壞電子郵件服務器和部署名為 OpenCarrot 的 Windows 後門。網絡攻擊者專門針對 NPO Mashinostroyeniya，一家著名的俄羅斯導彈工程公司。

涉及 Linux 電子郵件服務器的漏洞被歸咎於黑客組織ScarCruft 。然而，Windows 後門 OpenCarrot 此前曾與Lazarus Group有關聯，網絡安全專家於 2022 年 5 月中旬檢測到了首次使用該後門的攻擊。

NPO Mashinostroyeniya 位於魯托夫，是一家火箭設計局，自2014 年7 月以來一直面臨美國財政部的製裁。實施制裁的原因是該局與“俄羅斯持續企圖破壞烏克蘭東部穩定並持續佔領克里米亞”有關。

OpenCarrot 後門具有廣泛的威脅功能

OpenCarrot 被設計為 Windows 動態鏈接庫 (DLL)，並提供對超過 25 個不同命令的支持。這些命令有助於諸如偵察、文件系統和進程的操作以及各種通信方法的管理等活動。 OpenCarrot 中的廣泛功能足以讓攻擊者完全控制受感染的機器。同時，威脅行為者能夠在受害者的本地網絡上進行多次感染。

雖然攻破電子郵件服務器所採取的具體方法以及用於部署 OpenCarrot 的攻擊序列尚未公開，但人們承認 ScarCruft 經常在網絡釣魚計劃中利用社會工程策略來欺騙受害者並提供RokRat等後門。

此外，對攻擊基礎設施的徹底分析揭示了兩個域的存在：centos-packages[.]com 和 redhat-packages[.]com。這些域名與 2023 年 6 月發生的 JumpCloud 黑客攻擊期間威脅行為者使用的名稱非常相似。

OpenCarrot 顯示朝鮮 APT（高級持續威脅）組織罕見的融合

ScarCruft（也稱為 APT37）和 Lazarus 集團都與朝鮮有聯繫。然而，ScarCruft 被認為屬於國家安全部 (MSS) 的管轄範圍。相比之下，拉撒路集團據稱在 110 實驗室內運作，該實驗室是偵察總局 (RGB) 的一個派系，該局是該國主要的外國情報機構。

OpenCarrot 攻擊標誌著一次值得注意的合作，其中兩個與朝鮮相關的獨立威脅活動集群將其努力指向同一目標。這種趨同表明這是一項具有重大影響的戰略間諜任務，可能旨在使朝鮮有爭議的導彈計劃受益。

事實上，OpenCarrot 行動是朝鮮積極主動、秘密推進其導彈開發目標的一個令人信服的例子。通過直接損害被認為是著名的俄羅斯國防工業基地（DIB）組織的決定就可以明顯看出這一點。