OpenCarrot Bagdør indsat af nordkoreanske trusselsaktører

To forskellige nationalstatsgrupper, der stammer fra Nordkorea, er blevet associeret med en cyberindtrængen rettet mod NPO Mashinostroyeniya, et betydeligt russisk firma med speciale i missilteknik.

Ifølge SentinelOne, et cybersikkerhedsfirma, har de opdaget "to tilfælde af cyberkompromiser relateret til Nordkorea, der involverer følsomme interne it-systemer." Disse tilfælde omfatter en hændelse, der involverer kompromittering af en e-mail-server og introduktionen af en Windows-bagdør mærket OpenCarrot.

OpenCarrots komplekse tilskrivning

Bruddet på den Linux-baserede e-mail-server er blevet tilskrevet ScarCruft. På den anden side har OpenCarrot-implantatet tidligere været knyttet til Lazarus Group, en etableret aktør i dette rige. Disse angreb blev markeret i midten af maj i år 2022.
Beliggende i Reutov er NPO Mashinostroyeniya et designbureau med speciale i raketter. Det blev udsat for sanktioner af det amerikanske finansministerium tilbage i juli 2014. Disse foranstaltninger blev truffet på grund af dets forbindelse til "Ruslands igangværende bestræbelser på at destabilisere det østlige Ukraine og dets fortsatte besættelse af Krim."

Selvom ScarCruft (også kendt som APT37) og Lazarus Group deler bånd til Nordkorea, er det værd at fremhæve, at ScarCruft falder under tilsyn af Ministeriet for Statssikkerhed (MSS). I modsætning hertil opererer Lazarus Group inden for Lab 110, en afdeling af Reconnaissance General Bureau (RGB), som fungerer som Nordkoreas primære udenlandske efterretningsagentur.

OpenCarrots muligheder

OpenCarrot-værktøjet udføres som et dynamisk linkbibliotek (DLL) til Windows og understøtter en række af over 25 kommandoer. Disse kommandoer letter opgaver som rekognoscering, manipulation af filsystemer og processer og styring af flere kommunikationsmetoder.

Den præcise teknik, der bruges til at bryde e-mail-serveren, såvel som rækken af handlinger, der bruges til at levere OpenCarrot, forbliver uoplyst. Det er dog kendt, at ScarCruft ofte anvender social engineering taktik til at bedrage ofre og introducere bagdøre som RokRat.

Ydermere, ved nærmere undersøgelse af angrebsinfrastrukturen, er to domæner blevet identificeret: centos-packages[.]com og redhat-packages[.]com. Påfaldende nok deler disse domæner ligheder med de navne, der blev brugt af trusselsaktørerne under JumpCloud-hacket, der fandt sted i juni 2023.