Openキャロットバックドア

北朝鮮と関係があるとされる国家支援のハッカーが社内の機密ITインフラを侵害しており、その例としては電子メールサーバーの侵害やOpenキャロットとして知られるWindowsバックドアの導入などが挙げられる。サイバー攻撃者らは特に、ロシアの著名なミサイル開発会社であるNPO法人マシノストロイェニヤを標的とした。

Linux 電子メール サーバーに関係する侵害は、ハッカー グループScarCruftによるものであると考えられています。ただし、Windows バックドアである Openキャロット は以前からLazarus グループと関連付けられており、これを使用した最初の攻撃が 2022 年 5 月中旬にサイバーセキュリティの専門家によって検出されました。

レウトフにあるNPOマシノストロイェニヤはロケット設計局で、2014年7月以来米国財務省から制裁を受けている。制裁は同局が「ウクライナ東部を不安定化させようとするロシアの継続的な試みとクリミア占領の継続」との関連が理由で課された。

Openキャロットのバックドアには広範な脅威機能が備わっている

Openキャロットは Windows ダイナミック リンク ライブラリ (DLL) として設計されており、25 を超える異なるコマンドのサポートを提供します。これらのコマンドは、偵察、ファイル システムとプロセスの操作、さまざまな通信方法の管理などのアクティビティを容易にします。 Openキャロットにある幅広い機能は、攻撃者が侵害マシンを完全に制御するのに十分です。同時に、攻撃者は被害者のローカル ネットワーク全体で複数の感染を実行できるようになります。

電子メール サーバーを侵害するために取られた具体的なアプローチと、Openキャロットの展開に使用された攻撃シーケンスは未公開のままですが、ScarCruft がフィッシング スキームでソーシャル エンジニアリング戦術を頻繁に利用して、被害者を騙し、 RokRatなどのバックドアを提供していることが認められています。

さらに、攻撃インフラストラクチャの徹底的な分析により、centos-packages[.]com と redhat-packages[.]com という 2 つのドメインの存在が明らかになりました。これらのドメインは、2023 年 6 月に発生した JumpCloud ハッキング中に脅威アクターによって使用された名前と非常に似ています。

Openキャロットは北朝鮮と北朝鮮のAPT（Advanced Persistent Threat）グループの稀な集中を示す

ScarCruft (APT37 としても知られる) と Lazarus Group はどちらも北朝鮮との関係を共有しています。ただし、ScarCruft は国家安全省 (MSS) の管轄下にあると考えられています。対照的に、ラザロ・グループは、この国の主要な対外諜報機関として機能する偵察総局（RGB）の一派であるラボ110内で活動しているとされている。

Openキャロット攻撃は、北朝鮮に関連する 2 つの異なる独立した脅威活動クラスターが同じ標的に向けて取り組みを行っている注目すべき連携を示しています。この収束は、おそらく北朝鮮の議論の多いミサイル計画に利益をもたらすことを目的とした、重要な意味を持つ戦略的スパイ活動を示唆している。

実際、オープンキャロット作戦は、北朝鮮が密かにミサイル開発目標を推進しようとする積極的な取り組みを示す説得力のある例となっている。これは、ロシアの有力な国防産業基地（DIB）組織と考えられる組織を直接侵害するという決定を通じて明らかである。