朝鮮威脅行為者部署的 OpenCarrot 後門

來自朝鮮的兩個不同的民族國家組織與針對 NPO Mashinostroyeniya（一家專門從事導彈工程的俄羅斯重要公司）的網絡入侵有關。

據網絡安全公司 SentinelOne 稱，他們發現了“兩起與朝鮮有關的涉及敏感內部 IT 系統的網絡入侵事件”。這些實例包括涉及電子郵件服務器被入侵和引入標記為 OpenCarrot 的 Windows 後門的事件。

OpenCarrot 的複雜歸因

基於 Linux 的電子郵件服務器的攻擊被歸咎於 ScarCruft。另一方面，OpenCarrot 植入程序此前已與該領域的老牌組織 Lazarus Group 有聯繫。這些攻擊是在 2022 年 5 月中旬被標記的。
NPO Mashinostroyeniya 位於列烏托夫，是一家專門從事火箭設計的機構。早在 2014 年 7 月，它就受到美國財政部的製裁。採取這些措施是因為它與“俄羅斯持續破壞烏克蘭東部穩定並持續佔領克里米亞”有關。

儘管 ScarCruft（也稱為 APT37）和 Lazarus 集團與朝鮮有聯繫，但值得強調的是，ScarCruft 受到國家安全部 (MSS) 的監管。相比之下，拉撒路集團在 110 實驗室內運作，該實驗室是朝鮮主要外國情報機構偵察總局 (RGB) 的一個部門。

OpenCarrot 的功能

OpenCarrot 工具作為 Windows 的動態鏈接庫 (DLL) 執行，支持超過 25 種命令。這些命令有助於執行諸如偵察、文件系統和進程的操作以及多種通信方法的管理等任務。

用於破壞電子郵件服務器的精確技術以及用於傳遞 OpenCarrot 的一系列操作仍未公開。然而，眾所周知，ScarCruft 經常採用社會工程策略來欺騙受害者並引入像 RokRat 這樣的後門。

此外，在仔細檢查攻擊基礎設施後，發現了兩個域：centos-packages[.]com 和 redhat-packages[.]com。引人注目的是，這些域名與 2023 年 6 月發生的 JumpCloud 黑客攻擊期間威脅行為者使用的名稱有相似之處。