Az észak-koreai fenyegetés szereplői által telepített OpenCarrot Backdoor

Két különálló, Észak-Koreából származó nemzetállami csoportot hoztak összefüggésbe az NPO Mashinostroyeniya nevű, jelentős oroszországi rakétagyártásra szakosodott vállalatot célzó kiberbehatolással.

A SentinelOne kiberbiztonsági cég szerint „két olyan kiberkompromittálódást észleltek Észak-Koreával kapcsolatban, amelyek érzékeny belső informatikai rendszereket érintettek”. Ezek az esetek egy olyan incidenst tartalmaznak, amely egy e-mail-kiszolgáló kompromittálásával és egy OpenCarrot nevű Windows-hátsó ajtó bevezetésével jár.

OpenCarrot komplex hozzárendelése

A Linux-alapú levelezőszerver megsértését a ScarCruft nevéhez fűzték. Másrészt, az OpenCarrot implantátumot korábban a Lazarus Grouphoz kötötték, amely ezen a területen egy jól ismert szereplő. Ezeket a támadásokat 2022 májusának közepén jelezték.
A Reutovban található NPO Mashinostroyeniya egy rakétákra szakosodott tervezőiroda. Az Egyesült Államok Pénzügyminisztériuma még 2014 júliusában szankciókat sújtott ellene. Ezeket az intézkedéseket azért hozták, mert összefüggésben állnak "Oroszországnak a Kelet-Ukrajna destabilizálására irányuló folyamatos erőfeszítéseivel és a Krím félsziget folyamatos megszállásával".

Bár a ScarCruft (más néven APT37) és a Lazarus Group kapcsolatban áll Észak-Koreával, érdemes kiemelni, hogy a ScarCruft az Állambiztonsági Minisztérium (MSS) felügyelete alá tartozik. Ezzel szemben a Lazarus-csoport a Lab 110-ben, a Reconnaissance General Bureau (RGB) részlegén belül működik, amely Észak-Korea elsődleges külföldi hírszerző ügynökségeként szolgál.

Az OpenCarrot képességei

Az OpenCarrot eszköz dinamikus hivatkozási könyvtárként (DLL) fut a Windows számára, és több mint 25 parancsot támogat. Ezek a parancsok megkönnyítik az olyan feladatokat, mint a felderítés, a fájlrendszerek és folyamatok manipulálása, valamint többféle kommunikációs módszer kezelése.

Az e-mail szerver feltörésének pontos technikája, valamint az OpenCarrot kézbesítésére alkalmazott műveletek sorozata továbbra sem ismert. Ismeretes azonban, hogy a ScarCruft gyakran alkalmaz szociális tervezési taktikákat, hogy megtévessze az áldozatokat, és olyan hátsó ajtókat hozzon létre, mint a RokRat.

Ezenkívül a támadási infrastruktúra alaposabb vizsgálata során két tartományt azonosítottak: centos-packages[.]com és redhat-packages[.]com. Meglepő módon ezek a tartományok hasonlóságot mutatnak azokkal a nevekkel, amelyeket a fenyegetés szereplői használtak a JumpCloud feltörése során, amely 2023 júniusában történt.