„OpenCarrot Backdoor“ dislokavo Šiaurės Korėjos grėsmės veikėjai

Dvi skirtingos tautinių valstybių grupės, kilusios iš Šiaurės Korėjos, buvo siejamos su kibernetiniu įsibrovimu, nukreiptu į NPO Mashinostroyeniya, reikšmingą Rusijos bendrovę, besispecializuojančią raketų inžinerijoje.

Kibernetinio saugumo bendrovės „SentinelOne“ teigimu, jie aptiko „du su Šiaurės Korėja susijusių kibernetinių kompromisų atvejus, susijusius su jautriomis vidinėmis IT sistemomis“. Šie atvejai apima incidentą, susijusį su el. pašto serverio pažeidimu ir „Windows“ užpakalinių durų, pažymėtų „OpenCarrot“, įdiegimu.

OpenCarrot kompleksinis priskyrimas

„Linux“ pagrindu veikiančio el. pašto serverio pažeidimas buvo priskirtas „ScarCruft“. Kita vertus, „OpenCarrot“ implantas anksčiau buvo susietas su „Lazarus Group“, nusistovėjusia šios srities veikėja. Šios atakos buvo pažymėtos 2022 metų gegužės viduryje.
Reutove įsikūręs NPO Mashinostroyeniya yra projektavimo biuras, kurio specializacija yra raketos. Jai 2014 m. liepą buvo pritaikytos JAV iždo departamento sankcijos. Šių priemonių buvo imtasi dėl jos sąsajos su „Rusijos pastangomis destabilizuoti Rytų Ukrainą ir nuolatine Krymo okupacija“.

Nors „ScarCruft“ (taip pat žinomas kaip APT37) ir „Lazarus Group“ sieja ryšiai su Šiaurės Korėja, verta pabrėžti, kad „ScarCruft“ priklauso Valstybės saugumo ministerijos (MSS) priežiūrai. Priešingai, „Lazarus Group“ veikia Lab 110, Generalinio žvalgybos biuro (RGB) padalinyje, kuris yra pagrindinė Šiaurės Korėjos užsienio žvalgybos agentūra.

„OpenCarrot“ galimybės

„OpenCarrot“ įrankis vykdomas kaip „Windows“ dinaminių nuorodų biblioteka (DLL) ir palaiko daugiau nei 25 komandas. Šios komandos palengvina tokias užduotis kaip žvalgyba, manipuliavimas failų sistemomis ir procesais bei kelių komunikacijos metodų valdymas.

Tiksli technika, naudojama siekiant pažeisti el. pašto serverį, taip pat veiksmų serija, skirta „OpenCarrot“ pristatymui, lieka neatskleista. Tačiau yra žinoma, kad „ScarCruft“ dažnai taiko socialinės inžinerijos taktiką, kad apgautų aukas ir sukurtų tokias užpakalines duris kaip „RokRat“.

Be to, atidžiau išnagrinėjus atakų infrastruktūrą, buvo nustatytos dvi domenai: centos-packages[.]com ir redhat-packages[.]com. Stebėtina, kad šie domenai turi panašumų su pavadinimais, kuriuos naudojo grėsmės veikėjai per JumpCloud įsilaužimą, įvykusį 2023 m. birželio mėn.