Поделиться
Знаменитая северокорейская группировка Lazarus открыла охоту на разработчиков БПЛА
Хакеры атакуют европейских разработчиков беспилотных технологий, предлагая им мнимое трудоустройство и подсовывая широкофункциональный вредоносный код.
Новый этап
Хакеры из группировки Lazarus (КНДР), по данным фирмы ESET, начали проявлять живейший интерес к профессионалам, причастным к разработке БПЛА.
Это стало очередным этапом долгоиграющей кампании Operation DreamJob (операция «Работа мечты»), в ходе которой хакеры выступают под видом рекрутеров, предлагающих устройство в крупную компанию (нередко вымышленную) с высокой зарплатой. Но заканчивается всё обыкновенно установкой вредоносов в систему жертвы.
Таким образом Lazarus атаковал в прошлом специалистов по криптовалютам и DeFi, программистов, журналистов, экспертов по кибербезопасности, а также оборонный сектор и аэрокосмическую промышленность.
На сей раз Lazarus атаковали, последовательно, фирму, занимающуюся приборостроением для металлургической промышленности, производителя деталей для авиационной сферы и оборонную фирму. Все они располагались в Центральной и Юго-Восточной Европе.
Проанализировав атаки, исследователи ESET пришли к в выводу, что на первом этапе жертву обманом заставляют запустить троянизированные варианты популярных приложений или плагинов: текстовый редактор Notepad++, средство просмотра PDF MuPDF, плагины WinMerge, а также TightVNC Viewer, libpcre и адаптеры DirectX.
Вредоносная «начинка» второго этапа попадает в систему через побочную загрузку DLL, что нередко позволяет обойти защитные средства.
В итоге в систему попадает дроппер (webservices.dll, radcui.dll), который распаковывает и запускает дополнительные компоненты. Один из них - загрузчик BinMergeLoader, второй - троянец удалённого доступа ScoringMathTea RAT.
Наблюдалась и ещё одна цепочка заражений, где фигурировали загрузчики под названиями RCX1A07.tmp и windows.internal.shell.http.dll, а также файл tzautosync.dat, в котором в зашифрованном виде находился вышеупомянутый RAT-троянец. При этом дроппер первой стадии так и остался невыясненным.
Швейцарский нож
ScoringMathTea RAT впервые был задокументирован в 2023 году. Он поддерживает до 40 команд. В их числе - подгрузка дополнительных вредоносов, манипуляции с файлами и процессами, обмен настройками, сбором системных данных, сбор системных данных о жертве, открытие TCP-соединений и т.д.
В публикации ESET подчёркивается, что, несмотря на большое количество внимания, которое привлекает к себе деятельность Lazarus, их modus operandi остаётся удручающе продуктивным.
«Наиболее вероятной причиной является то, что информационная безопасность по-прежнему считается узкоспециальной сферой, значимой только для тех, кто вовлечён в неё непосредственно, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - На самом деле, эта тема касается всех, кто пользуется интернетом. Больше того, касается непредсказуемым образом».
Эксперт добавил, что наиболее обсуждаемые и модные профессиональные сферы всегда становятся своего рода магнитом для киберугроз, как по финансовым, так и политическим причинам.
Короткая ссылка
