朝鲜黑客通过假招聘攻击欧洲防务公司

快速阅读: 朝鲜Lazarus黑客通过“Operation DreamJob”行动，以虚假招聘手段渗透三家欧洲国防公司，目标为UAV技术研发组织。ESET发现攻击使用木马化软件和远程访问木马，强调地缘政治背景下朝鲜加强无人机技术的努力。

朝鲜Lazarus黑客通过名为“Operation DreamJob”的协同行动，利用虚假招聘手段，成功渗透了三家欧洲国防行业的公司。这些活动在3月底被发现，目标是参与无人驾驶飞机（UAV）技术研发的组织。

“Operation DreamJob”是一项长期运行的Lazarus行动，攻击者假扮大公司（真实或虚构）的招聘人员，向感兴趣组织的员工提供高级职位的工作机会。目标被诱导下载恶意文件，从而让黑客获得目标公司系统的访问权限。过去，这种手法曾被用于针对加密货币和去中心化金融（DeFi）公司、软件开发者、记者、安全研究人员以及国防和航空航天行业。

网络安全公司ESET的研究人员表示，在他们最近分析的一次“Operation DreamJob”中，Lazarus重点关注了与UAV相关的技术，这与当前的地缘政治发展相吻合，同时也反映了朝鲜加强建立无人机武库的努力，这些努力受到了西方设计的“启发”。

ESET观察到，3月底，“DreamJob”攻击陆续针对了东南欧的一家金属工程公司、中欧的一家飞机零部件制造商和一家国防公司。然而，这家网络安全公司并未透露黑客对这三家公司攻击的成功细节。所有这三家公司都生产目前在乌克兰部署的军事装备，作为其国家军事援助的一部分。其中两家公司显然参与了UAV技术的研发，一家制造关键的无人机组件，另一家则参与了UAV相关软件的设计。

分析感染链时，研究人员发现，攻击始于受害者启动被木马化的开源应用程序或插件，例如MuPDF查看器、Notepad++、WinMerge插件、TightVNC查看器、libpcre和DirectX包装器。通过DLL侧加载技术，即利用合法但有漏洞的软件加载恶意负载，实现了木马化DLL或恶意软件投放器的加载。在下一阶段，有效载荷被解密并通过内存模块风格的例程直接加载到内存中。最终阶段的恶意软件是ScoringMathTea远程访问木马（RAT），它与命令和控制（C2）基础设施建立通信并等待指令。

在另一种感染链中，使用了一种名为BinMergeLoader（MISTPEN）的恶意软件加载器，而不是RAT，该加载器滥用Microsoft Graph API和令牌来获取额外的有效载荷。

ScoringMathTea RAT首次于2023年被记录，其最新版本支持40条命令，赋予攻击者广泛的运营灵活性，从命令执行到下载新恶意软件。ESET解释说：“实现的功能是Lazarus通常所需的：文件和进程操作、交换配置、收集受害者系统信息、打开TCP连接以及执行本地命令或从C&C服务器下载的新有效载荷。”

尽管“Operation DreamJob”的技术和社交工程诱饵多次被曝光，但ESET评论称，对于朝鲜威胁行为者来说，这仍然是有效的作案手段。该公司还提供了一套广泛的入侵指标（IoCs），涉及Lazarus黑客在针对欧洲国防行业组织的DreamJob行动中使用的域名和恶意工具。

(以上内容均由Ai生成)