OpenCarrot Backdoor déployé par des acteurs de la menace nord-coréens

Deux groupes d'États-nations distincts originaires de Corée du Nord ont été associés à une cyber-intrusion visant NPO Mashinostroyeniya, une importante société russe spécialisée dans l'ingénierie des missiles.

Selon SentinelOne, une société de cybersécurité, ils ont détecté "deux cas de cyber compromis liés à la Corée du Nord impliquant des systèmes informatiques internes sensibles". Ces cas englobent un incident impliquant la compromission d'un serveur de messagerie et l'introduction d'une porte dérobée Windows appelée OpenCarrot.

Attribution complexe d'OpenCarrot

La violation du serveur de messagerie basé sur Linux a été attribuée à ScarCruft. D'autre part, l'implant OpenCarrot était auparavant lié au groupe Lazarus, un acteur établi dans ce domaine. Ces attaques ont été signalées à la mi-mai de l'année 2022.
Situé à Reutov, le NPO Mashinostroyeniya est un bureau d'études spécialisé dans les fusées. Il a été soumis à des sanctions par le département du Trésor américain en juillet 2014. Ces mesures ont été prises en raison de son lien avec « les efforts continus de la Russie pour déstabiliser l'est de l'Ukraine et son occupation continue de la Crimée ».

Bien que ScarCruft (également connu sous le nom d'APT37) et le groupe Lazarus partagent des liens avec la Corée du Nord, il convient de souligner que ScarCruft est sous la tutelle du ministère de la Sécurité d'État (MSS). En revanche, le groupe Lazarus opère au sein du Lab 110, une division du Reconnaissance General Bureau (RGB), qui sert de principale agence de renseignement étrangère en Corée du Nord.

Capacités d'OpenCarrot

L'outil OpenCarrot est exécuté en tant que bibliothèque de liens dynamiques (DLL) pour Windows et prend en charge une variété de plus de 25 commandes. Ces commandes facilitent des tâches telles que la reconnaissance, la manipulation de systèmes de fichiers et de processus et la gestion de plusieurs méthodes de communication.

La technique précise utilisée pour violer le serveur de messagerie, ainsi que la série d'actions employées pour fournir OpenCarrot, restent non divulguées. Cependant, on sait que ScarCruft utilise souvent des tactiques d'ingénierie sociale pour tromper les victimes et introduire des portes dérobées comme RokRat.

De plus, après un examen plus approfondi de l'infrastructure d'attaque, deux domaines ont été identifiés : centos-packages[.]com et redhat-packages[.]com. Étonnamment, ces domaines partagent des similitudes avec les noms utilisés par les acteurs de la menace lors du piratage JumpCloud qui s'est produit en juin 2023.