OpenCarrot Backdoor geïmplementeerd door Noord-Koreaanse bedreigingsacteurs
Twee verschillende natiestaatgroepen afkomstig uit Noord-Korea zijn in verband gebracht met een cyberinbraak gericht op NPO Mashinostroyeniya, een belangrijk Russisch bedrijf dat gespecialiseerd is in rakettechnologie.
Volgens SentinelOne, een cyberbeveiligingsbedrijf, hebben ze "twee gevallen van cybercompromis met betrekking tot Noord-Korea waarbij gevoelige interne IT-systemen betrokken waren" gedetecteerd. Deze gevallen omvatten een incident waarbij een e-mailserver werd gecompromitteerd en de introductie van een Windows-achterdeur met het label OpenCarrot.
De complexe attributie van OpenCarrot
De inbreuk op de op Linux gebaseerde e-mailserver is toegeschreven aan ScarCruft. Aan de andere kant is het OpenCarrot-implantaat eerder gekoppeld aan de Lazarus Group, een gevestigde speler op dit gebied. Deze aanvallen werden midden mei in het jaar 2022 gesignaleerd.
De NPO Mashinostroyeniya, gevestigd in Reutov, is een ontwerpbureau gespecialiseerd in raketten. Het werd in juli 2014 onderworpen aan sancties door het Amerikaanse ministerie van Financiën. Deze maatregelen werden genomen vanwege het verband met "de voortdurende inspanningen van Rusland om Oost-Oekraïne te destabiliseren en de voortdurende bezetting van de Krim".
Hoewel ScarCruft (ook bekend als APT37) en de Lazarus Group banden hebben met Noord-Korea, is het de moeite waard om te benadrukken dat ScarCruft onder toezicht staat van het Ministerie van Staatsveiligheid (MSS). De Lazarus Group opereert daarentegen binnen Lab 110, een divisie van het Reconnaissance General Bureau (RGB), dat fungeert als de belangrijkste buitenlandse inlichtingendienst van Noord-Korea.
De mogelijkheden van OpenCarrot
De OpenCarrot-tool wordt uitgevoerd als een Dynamic-Link Library (DLL) voor Windows en ondersteunt meer dan 25 opdrachten. Deze commando's vergemakkelijken taken zoals verkenning, manipulatie van bestandssystemen en processen, en beheer van meerdere communicatiemethoden.
De precieze techniek die is gebruikt om de e-mailserver te doorbreken, evenals de reeks acties die zijn gebruikt om OpenCarrot te leveren, blijft niet bekendgemaakt. Het is echter bekend dat ScarCruft vaak social engineering-tactieken gebruikt om slachtoffers te misleiden en achterdeurtjes zoals RokRat te introduceren.
Bovendien zijn bij nader onderzoek van de aanvalsinfrastructuur twee domeinen geïdentificeerd: centos-packages[.]com en redhat-packages[.]com. Opvallend is dat deze domeinen overeenkomsten vertonen met de namen die door de bedreigingsactoren werden gebruikt tijdens de JumpCloud-hack die plaatsvond in juni 2023.
