Backdoor OpenCarrot wdrożony przez cyberprzestępców z Korei Północnej
Dwie odrębne grupy państw narodowych wywodzące się z Korei Północnej zostały powiązane z cyberwłamaniem wymierzonym w NPO Mashinostroyeniya, znaczącą rosyjską firmę specjalizującą się w inżynierii rakietowej.
Według SentinelOne, firmy zajmującej się cyberbezpieczeństwem, wykryli „dwa przypadki cyberataków związanych z Koreą Północną, obejmujących wrażliwe wewnętrzne systemy informatyczne”. Instancje te obejmują incydent związany z włamaniem się do serwera poczty e-mail i wprowadzeniem backdoora systemu Windows o nazwie OpenCarrot.
Złożona atrybucja OpenCarrot
Naruszenie serwera pocztowego opartego na systemie Linux zostało przypisane ScarCruft. Z drugiej strony implant OpenCarrot był wcześniej powiązany z Grupą Lazarus, uznanym aktorem w tej dziedzinie. Ataki te zostały oznaczone w połowie maja 2022 roku.
Mieszcząca się w Reutowie NPO Mashinostroyeniya to biuro projektowe specjalizujące się w rakietach. Została ona objęta sankcjami Departamentu Skarbu USA w lipcu 2014 r. Działania te zostały podjęte ze względu na jej związek z „ciągłymi staraniami Rosji o destabilizację wschodniej Ukrainy i trwającą okupacją Krymu”.
Chociaż ScarCruft (znany również jako APT37) i Grupa Lazarus mają wspólne powiązania z Koreą Północną, warto podkreślić, że ScarCruft podlega nadzorowi Ministerstwa Bezpieczeństwa Państwowego (MSS). Natomiast Grupa Lazarus działa w ramach Lab 110, oddziału Generalnego Biura Rozpoznania (RGB), które służy jako główna agencja wywiadu zagranicznego Korei Północnej.
Możliwości OpenCarrot
Narzędzie OpenCarrot jest wykonywane jako biblioteka dołączana dynamicznie (DLL) dla systemu Windows i obsługuje ponad 25 różnych poleceń. Te polecenia ułatwiają takie zadania, jak rekonesans, manipulowanie systemami plików i procesami oraz zarządzanie wieloma metodami komunikacji.
Dokładna technika zastosowana do włamania do serwera pocztowego, a także seria działań zastosowanych w celu dostarczenia OpenCarrot pozostaje nieujawniona. Wiadomo jednak, że ScarCruft często stosuje taktyki inżynierii społecznej, aby oszukać ofiary i wprowadzić backdoory, takie jak RokRat.
Ponadto po dokładniejszym zbadaniu infrastruktury ataku zidentyfikowano dwie domeny: centos-packages[.]com i redhat-packages[.]com. Co uderzające, domeny te mają wspólne podobieństwa z nazwami używanymi przez cyberprzestępców podczas włamania JumpCloud, które miało miejsce w czerwcu 2023 r.
