Киберпреступники из группы Lazarus, связанной с КНДР, нацелились на европейские компании, разрабатывающие технологии для беспилотных летательных аппаратов. Они используют фиктивные предложения о работе для внедрения многофункционального вредоносного программного обеспечения.
Согласно данным компании ESET, хакеры проявляют активный интерес к специалистам, занятым в сфере создания БПЛА.
Это часть продолжительной кампании Operation DreamJob («Операция "Работа мечты"»), в рамках которой злоумышленники маскируются под рекрутеров, сулящих высокооплачиваемые должности в крупных, зачастую несуществующих, корпорациях. Результатом таких предложений обычно становится заражение системы жертвы.
Ранее Lazarus аналогичным образом атаковала экспертов по криптовалютам и DeFi, IT-разработчиков, журналистов, специалистов по киберзащите, а также предприятия оборонного и аэрокосмического комплексов.
В новой серии атак пострадали компании из Центральной и Юго-Восточной Европы: производитель оборудования для металлургии, поставщик авиационных компонентов и оборонное предприятие.
Исследование ESET показало, что на первом этапе жертву обманным путем побуждают запустить модифицированные версии легитимных программ: текстового редактора Notepad++, PDF-просмотрщика MuPDF, плагинов WinMerge, а также TightVNC Viewer, libpcre и адаптеров DirectX.
Вредоносные компоненты второго этапа проникают в систему через побочную загрузку DLL-библиотек, что часто позволяет обойти средства защиты.
В итоге в систему попадает дроппер (webservices.dll, radcui.dll), который распаковывает и активирует дополнительные модули. Среди них — загрузчик BinMergeLoader и троянец удаленного доступа ScoringMathTea RAT.
Была обнаружена и альтернативная цепочка заражения с использованием загрузчиков RCX1A07.tmp и windows.internal.shell.http.dll, а также файла tzautosync.dat, содержащего зашифрованный RAT. Дроппер для этой схемы остался неидентифицированным.
ScoringMathTea RAT, впервые описанный в 2023 году, поддерживает около 40 команд, включая загрузку дополнительных вредоносов, управление файлами и процессами, обмен конфигурациями, сбор системной информации, установку TCP-соединений и другие функции.
В отчете ESET отмечается, что, несмотря на пристальное внимание к деятельности Lazarus, их методы остаются тревожно эффективными.
«Вероятнее всего, это связано с тем, что кибербезопасность до сих пор воспринимается как узкоспециализированная область, актуальная лишь для непосредственно вовлеченных специалистов, — комментирует Никита Павлов, эксперт по информационной безопасности компании SEQ. — На деле же она касается каждого пользователя интернета, причем иногда самым неожиданным образом».
Специалист отметил, что самые популярные и трендовые отрасли неизменно привлекают повышенное внимание злоумышленников, движимых как экономическими, так и идеологическими мотивами.
