朝鲜威胁行为者部署的 OpenCarrot 后门

来自朝鲜的两个不同的民族国家组织与针对 NPO Mashinostroyeniya（一家专门从事导弹工程的俄罗斯重要公司）的网络入侵有关。

据网络安全公司 SentinelOne 称，他们发现了“两起与朝鲜有关的涉及敏感内部 IT 系统的网络入侵事件”。这些实例包括涉及电子邮件服务器被入侵和引入标记为 OpenCarrot 的 Windows 后门的事件。

OpenCarrot 的复杂归因

基于 Linux 的电子邮件服务器的攻击被归咎于 ScarCruft。另一方面，OpenCarrot 植入程序此前已与该领域的老牌组织 Lazarus Group 有联系。这些攻击是在 2022 年 5 月中旬被标记的。
NPO Mashinostroyeniya 位于列乌托夫，是一家专门从事火箭设计的机构。早在 2014 年 7 月，它就受到美国财政部的制裁。采取这些措施是因为它与“俄罗斯持续破坏乌克兰东部稳定并持续占领克里米亚”有关。

尽管 ScarCruft（也称为 APT37）和 Lazarus 集团与朝鲜有联系，但值得强调的是，ScarCruft 受到国家安全部 (MSS) 的监管。相比之下，拉撒路集团在 110 实验室内运作，该实验室是朝鲜主要外国情报机构侦察总局 (RGB) 的一个部门。

OpenCarrot 的功能

OpenCarrot 工具作为 Windows 的动态链接库 (DLL) 执行，支持超过 25 种命令。这些命令有助于执行诸如侦察、文件系统和进程的操作以及多种通信方法的管理等任务。

用于破坏电子邮件服务器的精确技术以及用于传递 OpenCarrot 的一系列操作仍未公开。然而，众所周知，ScarCruft 经常采用社会工程策略来欺骗受害者并引入像 RokRat 这样的后门。

此外，在仔细检查攻击基础设施后，发现了两个域：centos-packages[.]com 和 redhat-packages[.]com。引人注目的是，这些域名与 2023 年 6 月发生的 JumpCloud 黑客攻击期间威胁行为者使用的名称有相似之处。