OpenCarrot-Hintertür von nordkoreanischen Bedrohungsakteuren eingesetzt

Zwei unterschiedliche nationalstaatliche Gruppen mit Ursprung in Nordkorea wurden mit einem Cyberangriff auf NPO Mashinostroyeniya in Verbindung gebracht, ein bedeutendes russisches Unternehmen, das sich auf Raketenbau spezialisiert hat.

Laut SentinelOne, einem Cybersicherheitsunternehmen, wurden „zwei Fälle von Cyberkompromittierungen im Zusammenhang mit Nordkorea entdeckt, die sensible interne IT-Systeme betrafen“. Bei diesen Fällen handelt es sich um einen Vorfall, bei dem ein E-Mail-Server kompromittiert und eine Windows-Hintertür mit der Bezeichnung OpenCarrot eingeführt wurde.

Komplexe Attribution von OpenCarrot

Der Verstoß gegen den Linux-basierten E-Mail-Server wurde ScarCruft zugeschrieben. Andererseits war das OpenCarrot-Implantat zuvor mit der Lazarus Group verbunden, einem etablierten Akteur in diesem Bereich. Diese Angriffe wurden Mitte Mai des Jahres 2022 gemeldet.
Die NPO Mashinostroyeniya mit Sitz in Reutov ist ein auf Raketen spezialisiertes Designbüro. Bereits im Juli 2014 wurde es vom US-Finanzministerium mit Sanktionen belegt. Diese Maßnahmen wurden aufgrund seiner Verbindung zu „Russlands anhaltenden Bemühungen zur Destabilisierung der Ostukraine und seiner fortgesetzten Besetzung der Krim“ ergriffen.

Obwohl ScarCruft (auch bekannt als APT37) und die Lazarus-Gruppe Verbindungen zu Nordkorea haben, ist es erwähnenswert, dass ScarCruft unter der Aufsicht des Ministeriums für Staatssicherheit (MSS) steht. Im Gegensatz dazu ist die Lazarus-Gruppe im Labor 110 tätig, einer Abteilung des Reconnaissance General Bureau (RGB), das als Nordkoreas wichtigster Auslandsgeheimdienst fungiert.

Die Fähigkeiten von OpenCarrot

Das OpenCarrot-Tool wird als Dynamic Link Library (DLL) für Windows ausgeführt und unterstützt eine Vielzahl von über 25 Befehlen. Diese Befehle erleichtern Aufgaben wie Aufklärung, Manipulation von Dateisystemen und Prozessen sowie die Verwaltung mehrerer Kommunikationsmethoden.

Die genaue Technik, mit der der E-Mail-Server gehackt wurde, sowie die Reihe von Maßnahmen, die zur Bereitstellung von OpenCarrot eingesetzt wurden, werden nicht bekannt gegeben. Es ist jedoch bekannt, dass ScarCruft häufig Social-Engineering-Taktiken einsetzt, um Opfer zu täuschen und Hintertüren wie RokRat einzuführen.

Darüber hinaus wurden bei einer genaueren Untersuchung der Angriffsinfrastruktur zwei Domänen identifiziert: centos-packages[.]com und redhat-packages[.]com. Bemerkenswerterweise weisen diese Domains Ähnlichkeiten mit den Namen auf, die von den Bedrohungsakteuren während des JumpCloud-Hacks im Juni 2023 verwendet wurden.