OpenCarrot Backdoor utplassert av nordkoreanske trusselaktører

To distinkte nasjonalstatsgrupper med opprinnelse fra Nord-Korea har blitt assosiert med et cyberinntrenging rettet mot NPO Mashinostroyeniya, et betydelig russisk selskap som spesialiserer seg på missilteknikk.

Ifølge SentinelOne, et cybersikkerhetsselskap, har de oppdaget "to tilfeller av cyberkompromisser knyttet til Nord-Korea som involverer sensitive interne IT-systemer." Disse tilfellene omfatter en hendelse som involverer kompromittering av en e-postserver og introduksjonen av en Windows-bakdør merket OpenCarrot.

OpenCarrots komplekse attribusjon

Bruddet på den Linux-baserte e-postserveren har blitt tilskrevet ScarCruft. På den annen side har OpenCarrot-implantatet tidligere vært knyttet til Lazarus Group, en etablert aktør i dette riket. Disse angrepene ble flagget i midten av mai i år 2022.
NPO Mashinostroyeniya ligger i Reutov, og er et designbyrå som spesialiserer seg på raketter. Det ble utsatt for sanksjoner av det amerikanske finansdepartementet tilbake i juli 2014. Disse tiltakene ble tatt på grunn av dets forbindelse til «Russlands pågående innsats for å destabilisere Øst-Ukraina og dets fortsatte okkupasjon av Krim».

Selv om ScarCruft (også kjent som APT37) og Lazarus Group deler bånd til Nord-Korea, er det verdt å fremheve at ScarCruft faller under tilsyn av departementet for statssikkerhet (MSS). Derimot opererer Lazarus Group innenfor Lab 110, en avdeling av Reconnaissance General Bureau (RGB), som fungerer som Nord-Koreas primære utenlandske etterretningsbyrå.

OpenCarrots evner

OpenCarrot-verktøyet kjøres som et dynamisk koblingsbibliotek (DLL) for Windows og støtter en rekke over 25 kommandoer. Disse kommandoene letter oppgaver som rekognosering, manipulering av filsystemer og prosesser, og administrasjon av flere kommunikasjonsmetoder.

Den nøyaktige teknikken som brukes for å bryte e-postserveren, samt serien av handlinger som brukes for å levere OpenCarrot, forblir ukjent. Imidlertid er det kjent at ScarCruft ofte bruker sosial ingeniørtaktikk for å lure ofre og introdusere bakdører som RokRat.

Videre, ved nærmere undersøkelse av angrepsinfrastrukturen, har to domener blitt identifisert: centos-packages[.]com og redhat-packages[.]com. Påfallende nok deler disse domenene likheter med navnene som ble brukt av trusselaktørene under JumpCloud-hakket som skjedde i juni 2023.