Северокорейская группировка Lazarus провела целенаправленную кампанию против европейских оборонных предприятий
Изображение: recraft
Группа хакеров Lazarus организовала серию атак на три европейские компании оборонного профиля в рамках операции под названием DreamJob. Цель атак заключалась в похищении технической информации о беспилотных летательных аппаратах и сопутствующих технологиях. О выявлении кампании сообщили исследователи компании ESET.
Операция DreamJob представляет собой затяжную кампанию социальной инженерии и рекрутинга. Злоумышленники выдавали себя за рекрутеров от имени реальных или вымышленных организаций и направляли сотрудникам предложенные вакансии. Сообщения сопровождались файлами и установочными пакетами с троянизированными компонентами. При запуске таких файлов в инфраструктуре жертвы разворачивалась цепочка, приводившая к раскрытию сети и внедрению вредоносного ПО.
В последней волне атак, обнаруженной в конце марта, основными целями стали фирмы, работающие с БПЛА. Среди пострадавших оказались предприятие по металлообработке в Юго‑Восточной Европе, производитель авиационных компонентов и оборонная компания в Центральной Европе. Все три фирмы участвуют в производстве военной техники, поставляемой в рамках международной помощи. Две из них имеют дело с разработкой элементов беспилотников и программного обеспечения для них.
Аналитики ESET проследили несколько вариантов цепочки заражения. В одном сценарии злоумышленники выманивали жертву на установку приложений или плагинов с открытым исходным кодом модифицированных версий популярных утилит таких как просмотрщик MuPDF, Notepad++, плагины WinMerge, TightVNC Viewer, libpcre и оболочки DirectX. Далее происходила загрузка троянизированных библиотек DLL и их sideloading через уязвимые легитимные приложения. После этого загрузчик расшифровывал основную нагрузку и загружал её в память с применением методов в духе MemoryModule.
В финальной фазе инцидента разворачивался троян удалённого доступа под названием ScoringMathTea RAT который устанавливал связь с инфраструктурой управления и ожидал дальнейших команд. В альтернативной цепочке использовался загрузчик BinMergeLoader известный также как MISTPEN он прибегал к API и токенам Microsoft Graph для извлечения дополнительного полезного кода и данных.
Исследователи ESET обратили внимание на связь тематики атак с текущими геополитическими трендами. Направленность на БПЛА совпадает с активными усилиями Северной Кореи по созданию парка беспилотников в том числе с заимствованием западных разработок. В результате злоумышленники демонстрируют адаптивность тактики и выбор приоритетных целей в соответствии с внешней политикой и потребностями спонсора.
