朝鲜黑客利用假招聘渗透欧洲防务企业无人机技术

快速阅读: 朝鲜黑客组织Lazarus通过“DreamJob”行动，自2020年起针对欧洲防务公司，利用虚假招聘诱饵和木马化PDF文件，企图窃取无人机技术数据，支持朝鲜无人机开发。

朝鲜黑客组织Lazarus通过名为“DreamJob”的行动，针对3家欧洲防务公司发起攻击，利用虚假招聘诱饵瞄准无人机技术员工。该行动自2020年至少活跃至今，威胁行为者通过社交工程手段，以虚假工作机会为诱饵，诱导目标员工泄露敏感信息。

Lazarus APT（又称Hidden Cobra）自2009年起活跃，曾制造多起重大事件，包括索尼黑客攻击、WannaCry勒索软件攻击以及全球网络盗窃案。ESET报告称，Lazarus最新的“DreamJob”行动目标是无人机技术，这反映了朝鲜发展类似西方设计的无人机的努力。

ESET观察到，从2025年3月开始，“DreamJob”行动再次发动攻击，目标包括三家欧洲防务公司、一家金属工程公司、一家飞机零部件制造商和一家防务承包商。这些公司生产的设备被用于乌克兰，攻击者可能旨在窃取无人机和武器数据。Lazarus通过携带木马化的PDF文件的虚假工作邀请获得访问权限，部署了ScoringMathTea远程访问木马（RAT），实现全面控制。目标与无人机技术相关，表明此次间谍活动与朝鲜的无人机开发计划及其在乌克兰战争中与俄罗斯的合作有关。

朝鲜的无人机项目严重依赖逆向工程和知识产权盗窃，例如Saetbyol-4和Saetbyol-9等型号模仿美国公司的产品。证据显示，平壤通过Lazarus及相关APT组织进行网络间谍活动，以窃取无人机设计和制造技术。“DreamJob”行动可能旨在获取西方无人机的专有数据，支持朝鲜日益扩大的无人机生产努力。

2025年的“DreamJob”行动中，Lazarus将工具分为两个层级：早期阶段的下载器/加载器和主要阶段的有效载荷，如ScoringMathTea RAT。研究人员发现了木马化的MuPDF、TightVNC、Notepad++插件、libpcre加载器、QuanPinLoader、BinMergeLoader以及DirectInput风格的dinput.dll。加载器使用AES-128/ChaCha20解密有效载荷并在内存中加载，通过MemoryModule实现。主植入物从未以未加密形式出现在磁盘上。BinMergeLoader类似于Mandiant的MISTPEN，滥用Microsoft Graph令牌。值得注意的是，提交样本来自意大利和西班牙，其中一个下载器的内部名称为DroneEXEHijackingLoader.dll，进一步证实了该行动与无人机相关的目标。

ScoringMathTea是一种与Lazarus相关的远程访问木马，支持约40个命令，包括文件/进程控制、数据外泄和远程命令执行。ESET的报告指出：“其实现的功能是Lazarus通常需要的：文件和进程操作、配置交换、收集受害者系统信息、打开TCP连接以及执行本地命令或从C&C服务器下载的新有效载荷。” 当前版本没有显示出功能集或命令解析的重大变化，因此可能是持续进行的小幅改进和漏洞修复。

自2022年通过空客主题的工作诱饵首次出现以来，该恶意软件已针对葡萄牙、德国、印度、波兰、英国和意大利的公司。恶意代码很可能是“DreamJob”行动的关键有效载荷，它通过小更新不断进化，并与其他Lazarus工具如LightlessCan共享特征。

近3年来，Lazarus一直使用ScoringMathTea和木马化的开源应用程序实施“DreamJob”行动，实现了能够逃避检测但无法逃避归因的多态性。尽管媒体广泛报道了“DreamJob”行动及其使用的社交工程手段，但关键行业员工的意识水平仍然不足，无法应对可疑招聘过程带来的潜在风险。ESET报告总结道：“即使‘DreamJob’行动及其社交工程手段得到了广泛的媒体报道，敏感行业——技术、工程和防务领域的员工意识水平仍不足以应对可疑招聘过程的潜在风险。”

尽管存在其他假设，但有充分理由认为，“追梦行动”（Operation DreamJob）这一活动在很大程度上旨在收集与无人机技术相关的敏感信息。考虑到朝鲜当前正在扩大其无人机产业和军备库的努力，未来其他活跃于该领域的组织很可能引起与朝鲜结盟的威胁行为者的兴趣。

(以上内容均由Ai生成)