OpenCarrot Backdoor implantado por agentes de ameaças norte-coreanos

Dois grupos distintos de estados-nação originários da Coreia do Norte foram associados a uma invasão cibernética visando a NPO Mashinostroyeniya, uma importante empresa russa especializada em engenharia de mísseis.

De acordo com a SentinelOne, uma empresa de segurança cibernética, eles detectaram "duas instâncias de comprometimentos cibernéticos relacionados à Coreia do Norte envolvendo sistemas de TI internos sensíveis". Essas instâncias abrangem um incidente envolvendo o comprometimento de um servidor de e-mail e a introdução de um backdoor do Windows chamado OpenCarrot.

Atribuição complexa do OpenCarrot

A violação do servidor de e-mail baseado em Linux foi atribuída a ScarCruft. Por outro lado, o implante OpenCarrot foi anteriormente vinculado ao Lazarus Group, um ator estabelecido neste reino. Esses ataques foram sinalizados em meados de maio do ano de 2022.
Situada em Reutov, a NPO Mashinostroyeniya é uma agência de design especializada em foguetes. Foi submetido a sanções pelo Departamento do Tesouro dos EUA em julho de 2014. Essas medidas foram tomadas devido à sua conexão com "os esforços contínuos da Rússia para desestabilizar o leste da Ucrânia e sua ocupação contínua da Crimeia".

Embora a ScarCruft (também conhecida como APT37) e o Lazarus Group compartilhem laços com a Coreia do Norte, vale ressaltar que a ScarCruft está sob a supervisão do Ministério da Segurança do Estado (MSS). Em contraste, o Lazarus Group opera dentro do Lab 110, uma divisão do Reconnaissance General Bureau (RGB), que atua como a principal agência de inteligência estrangeira da Coreia do Norte.

Recursos do OpenCarrot

A ferramenta OpenCarrot é executada como uma biblioteca de vínculo dinâmico (DLL) para Windows e suporta uma variedade de mais de 25 comandos. Esses comandos facilitam tarefas como reconhecimento, manipulação de sistemas de arquivos e processos e gerenciamento de vários métodos de comunicação.

A técnica precisa usada para violar o servidor de e-mail, bem como a série de ações empregadas para entregar o OpenCarrot, permanece desconhecida. No entanto, sabe-se que o ScarCruft frequentemente emprega táticas de engenharia social para enganar as vítimas e introduzir backdoors como o RokRat.

Além disso, após um exame mais detalhado da infraestrutura de ataque, dois domínios foram identificados: centos-packages[.]com e redhat-packages[.]com. Surpreendentemente, esses domínios compartilham semelhanças com os nomes utilizados pelos agentes de ameaças durante o hack JumpCloud que ocorreu em junho de 2023.