北朝鮮の脅威アクターによって導入された Openキャロット バックドア

北朝鮮を起源とする2つの異なる国民国家グループが、ミサイル技術を専門とするロシアの有力企業であるNPO法人マシノストロイェニヤを標的としたサイバー侵入に関与していることが明らかになった。

サイバーセキュリティ会社SentinelOneによると、「機密性の高い社内ITシステムに関わる北朝鮮関連のサイバー侵害が2件」検出されたという。これらの事例には、電子メール サーバーの侵害と Openキャロットというラベルの付いた Windows バックドアの導入に関わるインシデントが含まれます。

Openキャロットの複雑な属性

Linux ベースの電子メール サーバーの侵害は、ScarCruft によるものであると考えられています。一方、Openキャロットインプラントは、この分野で確立された俳優であるLazarus Groupと以前から関連付けられていました。これらの攻撃は、2022 年の 5 月中旬に報告されました。
レウトフにある NPO マシノストロイェニヤは、ロケットを専門とする設計局です。同国は2014年7月に米財務省の制裁対象となった。これらの措置は、「ウクライナ東部を不安定化させようとするロシアの継続的な取り組みとクリミア占領の継続」との関連を理由にとられた。

ScarCruft (APT37 としても知られる) と Lazarus Group は北朝鮮との関係を共有していますが、ScarCruft が国家安全省 (MSS) の監督下にあることは強調する価値があります。対照的に、ラザロ・グループは、北朝鮮の主要な対外情報機関として機能する偵察総局（RGB）の一部門であるラボ110内で活動している。

Openキャロットの機能

Openキャロット ツールは Windows 用のダイナミック リンク ライブラリ (DLL) として実行され、25 を超えるさまざまなコマンドをサポートします。これらのコマンドは、偵察、ファイル システムとプロセスの操作、複数の通信方法の管理などのタスクを容易にします。

電子メール サーバーを侵害するために使用された正確な手法と、Openキャロットを配信するために使用された一連のアクションは、未公開のままです。ただし、ScarCruft はソーシャル エンジニアリング戦術を頻繁に使用して被害者を欺き、RokRat のようなバックドアを導入することが知られています。

さらに、攻撃インフラストラクチャを詳しく調査したところ、centos-packages[.]com と redhat-packages[.]com の 2 つのドメインが特定されました。驚くべきことに、これらのドメインは、2023 年 6 月に発生した JumpCloud ハッキング中に脅威アクターによって利用された名前と類似点を共有しています。