OpenCarrot Backdoor implementato da attori di minacce nordcoreane
Due distinti gruppi di stati-nazione originari della Corea del Nord sono stati associati a un'intrusione informatica contro NPO Mashinostroyeniya, un'importante azienda russa specializzata in ingegneria missilistica.
Secondo SentinelOne, una società di sicurezza informatica, hanno rilevato "due casi di compromissioni informatiche relative alla Corea del Nord che coinvolgono sistemi IT interni sensibili". Queste istanze comprendono un incidente che coinvolge la compromissione di un server di posta elettronica e l'introduzione di una backdoor di Windows denominata OpenCarrot.
L'attribuzione complessa di OpenCarrot
La violazione del server di posta elettronica basato su Linux è stata attribuita a ScarCruft. D'altra parte, l'impianto OpenCarrot è stato precedentemente collegato al gruppo Lazarus, un attore affermato in questo regno. Questi attacchi sono stati segnalati a metà maggio dell'anno 2022.
Situato a Reutov, l'NPO Mashinostroyeniya è un ufficio di progettazione specializzato in razzi. È stato sottoposto a sanzioni dal Dipartimento del Tesoro degli Stati Uniti nel luglio 2014. Queste misure sono state prese a causa del suo collegamento con "i continui sforzi della Russia per destabilizzare l'Ucraina orientale e la sua continua occupazione della Crimea".
Sebbene ScarCruft (noto anche come APT37) e il Gruppo Lazarus condividano legami con la Corea del Nord, vale la pena sottolineare che ScarCruft è sotto la supervisione del Ministero della Sicurezza di Stato (MSS). Al contrario, il Lazarus Group opera all'interno del Lab 110, una divisione del Reconnaissance General Bureau (RGB), che funge da principale agenzia di intelligence straniera della Corea del Nord.
Le capacità di OpenCarrot
Lo strumento OpenCarrot viene eseguito come una libreria a collegamento dinamico (DLL) per Windows e supporta una varietà di oltre 25 comandi. Questi comandi facilitano attività come la ricognizione, la manipolazione di file system e processi e la gestione di più metodi di comunicazione.
La tecnica precisa utilizzata per violare il server di posta elettronica, così come la serie di azioni impiegate per consegnare OpenCarrot, rimane sconosciuta. Tuttavia, è noto che ScarCruft impiega spesso tattiche di ingegneria sociale per ingannare le vittime e introdurre backdoor come RokRat.
Inoltre, dopo un esame più attento dell'infrastruttura di attacco, sono stati identificati due domini: centos-packages[.]com e redhat-packages[.]com. Sorprendentemente, questi domini condividono somiglianze con i nomi utilizzati dagli attori delle minacce durante l'hacking di JumpCloud avvenuto nel giugno del 2023.
