Οι βορειοκορεάτες χάκερ Lazarus παραβίασαν τρεις ευρωπαϊκές εταιρείες στον αμυντικό τομέα μέσω μιας συντονισμένης εκστρατείας Operation DreamJob που αξιοποιεί πλαστά δέλεαρ στρατολόγησης.
Η δραστηριότητα της ομάδας απειλής εντοπίστηκε στα τέλη Μαρτίου και στόχευε οργανώσεις που εμπλέκονται στην ανάπτυξη τεχνολογίας μη επανδρωμένων εναέριων οχημάτων (UAV).
Η «Επιχείρηση DreamJob» είναι μια μακροχρόνια εκστρατεία Lazarus όπου ο αντίπαλος, υποδυόμενος στρατολόγος σε μια μεγάλη εταιρεία (είτε αληθινή είτε ψεύτικη), προσεγγίζει υπαλλήλους σε έναν οργανισμό ενδιαφέροντος με προσφορές εργασίας για έναν ρόλο υψηλού προφίλ.
Οι στόχοι εξαπατούνται για να κατεβάσουν κακόβουλα αρχεία που δίνουν στους χάκερ πρόσβαση στα συστήματα της εταιρείας-στόχου.
Η τακτική έχει χρησιμοποιηθεί στο παρελθόν εναντίον εταιρειών κρυπτονομισμάτων και DeFi, προγραμματιστών λογισμικού, δημοσιογράφων, ερευνητών ασφάλειας, καθώς και οργανισμών στον αμυντικό τομέα, συμπεριλαμβανομένης της αεροδιαστημικής βιομηχανίας.
Ερευνητές της εταιρείας κυβερνοασφάλειας ESET λένε ότι στην πιο πρόσφατη Operation DreamJob που ανέλυσαν, ο Lazarus εστίασε στην τεχνολογία που σχετίζεται με τα UAV, η οποία ευθυγραμμίζεται με τις τρέχουσες γεωπολιτικές εξελίξεις και συμπίπτει με την αυξημένη προσπάθεια της Βόρειας Κορέας να δημιουργήσει ένα οπλοστάσιο drone «εμπνευσμένο» από δυτικά σχέδια.
Στόχευση κατασκευαστών εξαρτημάτων drone
Η ESET παρατήρησε στα τέλη Μαρτίου ότι «στη φύση [DreamJob] επιθέσεις στόχευσαν διαδοχικά” μια εταιρεία μηχανικής μετάλλων στη Νοτιοανατολική Ευρώπη, μια εταιρεία κατασκευής ανταλλακτικών αεροσκαφών και μια αμυντική εταιρεία, αμφότερες στην Κεντρική Ευρώπη.
Ωστόσο, η εταιρεία κυβερνοασφάλειας δεν έδωσε λεπτομέρειες σχετικά με την επιτυχία που είχαν οι χάκερ στοχεύοντας τις τρεις εταιρείες.
Και οι τρεις εταιρείες κατασκευάζουν στρατιωτικό εξοπλισμό που βρίσκεται επί του παρόντος στην Ουκρανία ως μέρος της στρατιωτικής βοήθειας των χωρών τους.
Δύο από αυτά, ωστόσο, «συμμετέχουν ξεκάθαρα στην ανάπτυξη της τεχνολογίας UAV, με το ένα να κατασκευάζει κρίσιμα εξαρτήματα drone και το άλλο να φέρεται να ασχολείται με το σχεδιασμό λογισμικού που σχετίζεται με UAV».
Αναλύοντας την αλυσίδα μόλυνσης, οι ερευνητές διαπίστωσαν ότι ξεκίνησε με το θύμα να λανσάρει μια trojanized εφαρμογή ή πρόσθετο ανοιχτού κώδικα, όπως το πρόγραμμα προβολής MuPDF, το Notepad++, τα πρόσθετα WinMerge, το TightVNC Viewer, το libpcre και τα περιτυλίγματα DirectX.
Η φόρτωση του trojanized DLL ή του σταγονόμετρου κακόβουλου λογισμικού επιτεύχθηκε μέσω του DLL sideloading, μιας τεχνικής αποφυγής που χρησιμοποιεί ένα νόμιμο αλλά ευάλωτο λογισμικό για τη φόρτωση του κακόβουλου ωφέλιμου φορτίου.
Στο επόμενο στάδιο, το ωφέλιμο φορτίο αποκρυπτογραφείται και φορτώνεται απευθείας στη μνήμη χρησιμοποιώντας ρουτίνες τύπου MemoryModule.
Το κακόβουλο λογισμικό τελευταίου σταδίου είναι το ScoringMathTea RAT (Remote Access Trojan), το οποίο δημιουργεί επικοινωνία με την υποδομή εντολών και ελέγχου (C2) και αναμένει οδηγίες.
Σε μια εναλλακτική αλυσίδα μόλυνσης, χρησιμοποιείται ένας φορτωτής κακόβουλου λογισμικού με το όνομα BinMergeLoader (MISTPEN) αντί του RAT, ο οποίος κάνει κατάχρηση του Microsoft Graph API και των διακριτικών για την ανάκτηση πρόσθετων ωφέλιμων φορτίων.
.jpg)
Πηγή: ESET
Το ScoringMathTea RAT, που τεκμηριώθηκε για πρώτη φορά το 2023, υποστηρίζει 40 εντολές στην τελευταία του έκδοση, οι οποίες δίνουν στους επιτιθέμενους ένα ευρύ φάσμα λειτουργικής ευελιξίας, από την εκτέλεση εντολών έως την απόρριψη νέου κακόβουλου λογισμικού.
“Η εφαρμοσμένη λειτουργικότητα είναι η συνήθης που απαιτείται από τον Lazarus: χειρισμός αρχείων και διαδικασιών, ανταλλαγή των ρυθμίσεων, συλλογή πληροφοριών συστήματος του θύματος, άνοιγμα σύνδεσης TCP και εκτέλεση τοπικών εντολών ή νέων ωφέλιμων φορτίων που έχουν ληφθεί από τον διακομιστή C&C.” εξηγεί η ESET.
Η ESET σχολιάζει ότι παρά την επανειλημμένη έκθεση των τακτικών της Operation DreamJob και των δολωμάτων κοινωνικής μηχανικής μέσω αναφορών, εξακολουθεί να παραμένει ένας αποτελεσματικός τρόπος λειτουργίας για τους Βορειοκορεάτες φορείς απειλών.
Η εταιρεία κυβερνοασφάλειας παρέχει ένα εκτεταμένο σύνολο δείκτες συμβιβασμού (IoC) για τους τομείς και τα κακόβουλα εργαλεία που χρησιμοποίησαν οι χάκερ της Lazarus στην εκστρατεία DreamJob εναντίον ευρωπαϊκών οργανισμών στον αμυντικό τομέα.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
