朝鲜黑客组织瞄准欧洲无人机制造商

快速阅读: ESET发现朝鲜支持的Lazarus组织针对欧洲三家无人机开发国防公司实施网络攻击，使用“DreamJob 计划”社会工程手法和“ScoringMathTea”木马，意在窃取敏感军事数据，提升朝鲜无人机技术。

网络安全研究人员发现了一系列针对欧洲无人机开发国防公司的网络攻击。据ESET归因于朝鲜支持的 Lazarus 组织，这一活动标志着长期网络间谍行动“DreamJob 计划”的最新阶段，旨在窃取敏感的军事和航空航天数据。

该行动于2025年3月被发现，主要针对三家欧洲公司——一家金属工程公司、一家飞机部件制造商以及一家国防承包商。所有目标均通过涉及虚假工作机会的社会工程手段被欺骗，这是“DreamJob 计划”的一贯手法。受害者被诱骗打开特洛伊化的PDF阅读器，从而秘密安装恶意软件。

ESET 的遥测数据显示，此次攻击使用了名为“ScoringMathTea”的远程访问木马（RAT），能够赋予攻击者对受感染系统的完全控制权。恶意软件通过一系列伪装成合法软件组件的下载器和加载器传播，包括从GitHub操纵的开源项目。

研究人员认为，其中一个关键的恶意文件“DroneEXEHijackingLoader.dll”表明，此次行动特别寻求与无人机相关的数据。两家被攻击的公司参与了无人机部件或软件的生产，这正是朝鲜当前力图发展的领域。

此次攻击的时间与朝鲜士兵支持俄罗斯在乌克兰作战的报道相吻合，可能意味着该行动旨在收集西方在冲突中部署的无人机情报。ESET认为，这可能有助于平壤提升自身无人机设计的能力，其许多设计与美国军用无人机如RQ-4全球鹰和MQ-9收割者有显著相似之处。

ESET指出，攻击者在2025年引入了新的工具和技术，包括：

– 特洛伊化的开源应用程序，例如TightVNC Viewer和MuPDF

– 从DirectX包装器和Notepad++插件构建的新加载器和下载器

– 继续使用ScoringMathTea作为主要有效载荷

这些更新显示了Lazarus不断努力改进其技术，同时保持其将社会工程与带有恶意软件的软件工具相结合的典型策略。ESET总结称，此次最新的行动突显了国防行业面临的持续风险，特别是那些从事无人机研究的企业。“考虑到朝鲜目前扩大其无人机产业和武器库的努力，未来其他活跃于该领域的组织可能会成为朝鲜相关威胁行为者的诱人目标。”

(以上内容均由Ai生成)