ИБ-специалисты раскрыли новую серию кибератак, направленных на европейский оборонный сектор и организации, занимающиеся разработкой беспилотников. Компания ESET приписывает эту активность связанной с Северной Кореей хак-группе Lazarus, которая провела длительную кампанию DreamJob с целью украсть конфиденциальные военные данные.
Кампания, обнаруженная в марте 2025 года, была сконцентрирована на трёх европейских предприятиях: производителя авиационных компонентов, оборонного подрядчика и металлообрабатывающего завода. Их представителей обманули с помощью тактики социальной инженерии, подразумевающей поддельные предложения о работе, что является отличительной чертой операции DreamJob. Жертв заманивали в троянизированные программы для чтения PDF-файлов, которые тайно устанавливали вредоносное ПО.
Телеметрические данные ESET показали использование ScoringMathTea — трояна удалённого доступа (RAT), способного предоставить злоумышленникам полный контроль над взломанными системами. Зловред распространялся через ряд загрузчиков, замаскированных под легитимные программные компоненты, включая поддельные проекты с открытым исходным кодом из GitHub.
Один из ключевых заражённых файлов, DroneEXEHijackingLoader.dll, навёл исследователей на мысль, что главной целью операции было получить данные, связанные с БПЛА. Две из атакованных компаний занимаются производством деталей и софта для беспилотников — а это сфера, которую КНДР в настоящее время стремится развивать.
По данным ESET, в 2025 году Lazarus добавила новые элементы в свой набор инструментов — троянизированные приложения с открытым исходным кодом и загрузчики, созданные на основе DirectX Wrappers и плагинов Notepad++ (при использовании ScoringMathTea в качестве основной полезной нагрузки). Это демонстрирует постоянные усилия группировки по совершенствованию своих методов.
Безопасники отметили сохраняющийся риск, которому подвергается оборонный сектор: «Учитывая текущие усилия Северной Кореи по масштабированию индустрии и арсенала беспилотников, вполне вероятно, что другие организации, работающие в этом секторе, в ближайшем будущем также вызовут интерес у хакеров».
Усам Оздемиров
