OpenCarrot Backdoor utplacerad av nordkoreanska hotaktörer
Två distinkta nationalstatsgrupper med ursprung från Nordkorea har associerats med ett cyberintrång riktat mot NPO Mashinostroyeniya, ett betydande ryskt företag som specialiserat sig på missilteknik.
Enligt SentinelOne, ett cybersäkerhetsföretag, har de upptäckt "två fall av cyberkompromisser relaterade till Nordkorea som involverar känsliga interna IT-system." Dessa fall omfattar en incident som involverar kompromiss med en e-postserver och införandet av en Windows-bakdörr märkt OpenCarrot.
OpenCarrots komplexa tillskrivning
Intrånget i den Linux-baserade e-postservern har tillskrivits ScarCruft. Å andra sidan har OpenCarrot-implantatet tidigare varit kopplat till Lazarus Group, en etablerad aktör i detta rike. Dessa attacker flaggades i mitten av maj år 2022.
NPO Mashinostroyeniya ligger i Reutov och är en designbyrå som specialiserar sig på raketer. Det utsattes för sanktioner av det amerikanska finansdepartementet redan i juli 2014. Dessa åtgärder vidtogs på grund av dess koppling till "Rysslands pågående ansträngningar att destabilisera östra Ukraina och dess fortsatta ockupation av Krim."
Även om ScarCruft (även känd som APT37) och Lazarus Group delar band med Nordkorea, är det värt att betona att ScarCruft faller under överinseende av ministeriet för statlig säkerhet (MSS). Däremot verkar Lazarus Group inom Lab 110, en avdelning av Reconnaissance General Bureau (RGB), som fungerar som Nordkoreas primära utländska underrättelsetjänst.
OpenCarrots möjligheter
OpenCarrot-verktyget körs som ett dynamiskt länkbibliotek (DLL) för Windows och stöder en mängd över 25 kommandon. Dessa kommandon underlättar uppgifter som spaning, manipulering av filsystem och processer och hantering av flera kommunikationsmetoder.
Den exakta tekniken som används för att bryta mot e-postservern, liksom serien av åtgärder som används för att leverera OpenCarrot, förblir okänd. Det är dock känt att ScarCruft ofta använder social ingenjörsteknik för att lura offer och introducera bakdörrar som RokRat.
Vid närmare granskning av attackinfrastrukturen har dessutom två domäner identifierats: centos-packages[.]com och redhat-packages[.]com. Påfallande nog delar dessa domäner likheter med namnen som användes av hotaktörerna under JumpCloud-hacket som inträffade i juni 2023.
