Исследователи ESET в опубликованном в четверг отчете заявили, что северокорейская группировка Lazarus прошлой весной атаковала три европейские компании , активно работающие в оборонном секторе, с целью потенциальной кражи конфиденциальных данных о компонентах и программном обеспечении беспилотников.
Атаки, инициированные давней передовой группировкой постоянных угроз Северной Кореи, которая специализируется на шпионаже, саботаже и получении финансовой выгоды, были направлены в конце марта против компании по металлообработке, производителя авиационных компонентов и оборонного предприятия.
Цели, которые преследует Lazarus, не подтверждены, но исследователи выявили множество потенциальных выгод для Северной Кореи, включая информацию о производстве материалов и разработке беспилотников.
ESET отметила, что атаки были направлены на компании, поставляющие военную технику, часть которой в настоящее время находится на Украине, в период, когда северокорейские солдаты находились в России. Одна из атакованных компаний участвует в производстве как минимум двух беспилотных летательных аппаратов, которые в настоящее время используются на Украине и с которыми Северная Корея могла столкнуться на линии фронта, говорится в отчёте.
По данным ESET, у целевых компаний также имеется специализированная информация, которая может помочь программе Северной Кореи по производству беспилотников, включая современные однороторные беспилотники, которые Пхеньян активно разрабатывает.
«Мы считаем, что операция DreamJob, вероятно, была — по крайней мере частично — направлена на кражу конфиденциальной информации и производственных ноу-хау, касающихся БПЛА», — говорится в отчете исследователей.
ESET связывает атаки с кампанией Operation DreamJob группы Lazarus, которая использует поддельные предложения о работе на высокооплачиваемые и престижные должности в качестве приманки с использованием социальной инженерии, что приводит к первоначальному доступу к целевым сетям.
Lazarus отправлял жертвам поддельный документ, содержащий описание вакансии и троянизированный PDF-ридер для открытия файла. ScoringMathTea, основной троян для удалённого доступа, использовавшийся в этих атаках, позволял злоумышленникам получить полный контроль над скомпрометированным компьютером, сообщили исследователи.
Компания ESET заявила, что ранее она наблюдала ScoringMathTea, предпочитаемую полезную нагрузку Lazarus с 2022 года, в аналогичных атаках на индийскую технологическую компанию, польскую оборонную компанию, компанию промышленной автоматизации в Великобритании и аэрокосмическую компанию в Италии.
«Эта предсказуемая, но эффективная стратегия обеспечивает достаточный полиморфизм, позволяющий обойти обнаружение службами безопасности, даже если его недостаточно, чтобы скрыть идентичность группы и скрыть процесс атрибуции», — говорится в отчете исследователей.
Все вредоносные программы, обнаруженные в ходе этих атак, содержали файл динамической библиотеки с именем «DroneEXEHijackingloader.dll», который компания ESET посчитала еще одним доказательством сосредоточенности злоумышленников на технологиях беспилотников.
Компания ESET опубликовала исполняемые файлы и индикаторы компрометации, обнаруженные в ходе расследования этих атак. Исследователи предупредили, что другие организации в сфере беспилотных летательных аппаратов также могут стать объектами атак со стороны северокорейских злоумышленников.
Атаки, инициированные давней передовой группировкой постоянных угроз Северной Кореи, которая специализируется на шпионаже, саботаже и получении финансовой выгоды, были направлены в конце марта против компании по металлообработке, производителя авиационных компонентов и оборонного предприятия.
Цели, которые преследует Lazarus, не подтверждены, но исследователи выявили множество потенциальных выгод для Северной Кореи, включая информацию о производстве материалов и разработке беспилотников.
ESET отметила, что атаки были направлены на компании, поставляющие военную технику, часть которой в настоящее время находится на Украине, в период, когда северокорейские солдаты находились в России. Одна из атакованных компаний участвует в производстве как минимум двух беспилотных летательных аппаратов, которые в настоящее время используются на Украине и с которыми Северная Корея могла столкнуться на линии фронта, говорится в отчёте.
По данным ESET, у целевых компаний также имеется специализированная информация, которая может помочь программе Северной Кореи по производству беспилотников, включая современные однороторные беспилотники, которые Пхеньян активно разрабатывает.
«Мы считаем, что операция DreamJob, вероятно, была — по крайней мере частично — направлена на кражу конфиденциальной информации и производственных ноу-хау, касающихся БПЛА», — говорится в отчете исследователей.
ESET связывает атаки с кампанией Operation DreamJob группы Lazarus, которая использует поддельные предложения о работе на высокооплачиваемые и престижные должности в качестве приманки с использованием социальной инженерии, что приводит к первоначальному доступу к целевым сетям.
Lazarus отправлял жертвам поддельный документ, содержащий описание вакансии и троянизированный PDF-ридер для открытия файла. ScoringMathTea, основной троян для удалённого доступа, использовавшийся в этих атаках, позволял злоумышленникам получить полный контроль над скомпрометированным компьютером, сообщили исследователи.
Компания ESET заявила, что ранее она наблюдала ScoringMathTea, предпочитаемую полезную нагрузку Lazarus с 2022 года, в аналогичных атаках на индийскую технологическую компанию, польскую оборонную компанию, компанию промышленной автоматизации в Великобритании и аэрокосмическую компанию в Италии.
«Эта предсказуемая, но эффективная стратегия обеспечивает достаточный полиморфизм, позволяющий обойти обнаружение службами безопасности, даже если его недостаточно, чтобы скрыть идентичность группы и скрыть процесс атрибуции», — говорится в отчете исследователей.
Все вредоносные программы, обнаруженные в ходе этих атак, содержали файл динамической библиотеки с именем «DroneEXEHijackingloader.dll», который компания ESET посчитала еще одним доказательством сосредоточенности злоумышленников на технологиях беспилотников.
Компания ESET опубликовала исполняемые файлы и индикаторы компрометации, обнаруженные в ходе расследования этих атак. Исследователи предупредили, что другие организации в сфере беспилотных летательных аппаратов также могут стать объектами атак со стороны северокорейских злоумышленников.
