Бэкдор OpenCarrot, развернутый северокорейскими злоумышленниками
Две отдельные группы национальных государств, происходящие из Северной Кореи, были связаны с кибервторжением, направленным против НПО машиностроения, крупной российской компании, специализирующейся на разработке ракет.
По данным SentinelOne, компании по кибербезопасности, они обнаружили «два случая киберкомпрометации, связанных с Северной Кореей, с использованием конфиденциальных внутренних ИТ-систем». Эти случаи охватывают инцидент, связанный со взломом почтового сервера и внедрением бэкдора Windows с маркировкой OpenCarrot.
Сложная атрибуция OpenCarrot
Взлом почтового сервера на базе Linux был приписан ScarCruft. С другой стороны, имплантат OpenCarrot ранее был связан с Lazarus Group, известным игроком в этой сфере. Эти атаки были зафиксированы в середине мая 2022 года.
Расположенное в Реутове НПО машиностроения — конструкторское бюро, специализирующееся на ракетах. Он был подвергнут санкциям Министерства финансов США еще в июле 2014 года. Эти меры были приняты в связи с его связью с «продолжающимися усилиями России по дестабилизации восточной Украины и ее продолжающейся оккупацией Крыма».
Хотя ScarCruft (также известный как APT37) и Lazarus Group имеют общие связи с Северной Кореей, стоит подчеркнуть, что ScarCruft находится под контролем Министерства государственной безопасности (MSS). Напротив, группа Lazarus действует в рамках лаборатории 110, подразделения Главного разведывательного бюро (RGB), которое служит основным агентством внешней разведки Северной Кореи.
Возможности OpenCarrot
Инструмент OpenCarrot выполняется как библиотека динамической компоновки (DLL) для Windows и поддерживает более 25 различных команд. Эти команды облегчают такие задачи, как разведка, манипулирование файловыми системами и процессами и управление несколькими методами связи.
Точная методика, использованная для взлома почтового сервера, а также ряд действий, использованных для доставки OpenCarrot, остаются нераскрытыми. Однако известно, что ScarCruft часто использует тактику социальной инженерии, чтобы обманывать жертв и внедрять бэкдоры, такие как RokRat.
Кроме того, при более тщательном изучении инфраструктуры атаки были идентифицированы два домена: centos-packages[.]com и redhat-packages[.]com. Поразительно, что эти домены имеют сходство с именами, которые использовались злоумышленниками во время взлома JumpCloud, произошедшего в июне 2023 года.
