Šiaurės Korėjos Lazarus įsilaužėliai nusitaikė į Europos gynybos įmones

Šiaurės Korėjos „Lazarus“ įsilaužėliai sukompromitavo tris Europos gynybos sektoriaus įmones, vykdydami koordinuotą „DreamJob“ operaciją, pasitelkdami netikrus verbavimo masalus.

Grėsmių grupės veikla buvo aptikta kovo pabaigoje ir nukreipta į organizacijas, susijusias su nepilotuojamų orlaivių (UAV) technologijų kūrimu.

„Operacija DreamJob“ – tai ilgai trunkanti Lazarus kampanija, kurios metu priešas, prisistatęs verbuotoju didelėje įmonėje (tikros ar netikros), kreipiasi į darbuotojus dominančioje organizacijoje su darbo pasiūlymais užimti aukšto lygio pareigas.

Taikiniai apgaudinėjami atsisiunčiant kenkėjiškus failus, suteikiančius įsilaužėliams prieigą prie tikslinės įmonės sistemų.

Taktika praeityje buvo naudojama prieš kriptovaliutų ir DeFi įmones, programinės įrangos kūrėjus, žurnalistus, saugumo tyrinėtojus ir gynybos sektoriaus organizacijas, įskaitant aviacijos ir kosmoso pramonę.

Kibernetinio saugumo bendrovės ESET tyrėjai teigia, kad naujausioje jų išanalizuotoje operacijoje „DreamJob“ Lazarus daugiausia dėmesio skyrė su UAV susijusioms technologijoms, kurios atitinka dabartinius geopolitinius pokyčius ir sutampa su padidėjusiomis Šiaurės Korėjos pastangomis sukurti dronų arsenalą, „įkvėptą“ Vakarų dizaino.

Nukreipti į dronų komponentų gamintojus

Kovo pabaigoje ESET pastebėjo, kad „laukinės (DreamJob) atakos iš eilės buvo nukreiptos į metalo inžinerijos įmonę Pietryčių Europoje, orlaivių dalių gamintoją ir gynybos bendrovę Centrinėje Europoje.

Tačiau kibernetinio saugumo įmonė nepateikė jokios informacijos apie įsilaužėlių sėkmę nusitaikę į tris bendroves.

Visos trys bendrovės gamina karinę įrangą, kuri šiuo metu yra dislokuota Ukrainoje kaip dalis jų šalių karinės pagalbos.

Tačiau du iš jų „akivaizdžiai dalyvauja kuriant UAV technologiją: vienas gamina svarbius dronų komponentus, o kitas, kaip pranešama, užsiima su UAV susijusios programinės įrangos kūrimu“.

Analizuodami infekcijos grandinę, tyrėjai nustatė, kad ji prasidėjo nuo to, kad auka paleido Trojanizuotą atvirojo kodo programą ar papildinį, pvz., MuPDF peržiūros programą, Notepad++, WinMerge įskiepius, TightVNC Viewer, libpcre ir DirectX paketus.

Trojanizuotas DLL arba kenkėjiškų programų lašintuvas buvo įkeltas naudojant DLL šoninį įkėlimą, vengimo metodą, kuris naudoja teisėtą, bet pažeidžiamą programinę įrangą, kad įkeltų kenksmingą naudingą apkrovą.

Kitame etape naudinga apkrova iššifruojama ir įkeliama tiesiai į atmintį naudojant MemoryModule stiliaus procedūras.

Paskutinio etapo kenkėjiška programa yra ScoringMathTea RAT (Remote Access Trojan), kuri užmezga ryšį su komandų ir valdymo (C2) infrastruktūra ir laukia instrukcijų.

Vienoje alternatyvioje infekcijos grandinėje vietoje RAT naudojamas kenkėjiškų programų įkroviklis, pavadintas BinMergeLoader (MISTPEN), kuris piktnaudžiauja Microsoft Graph API ir žetonais, kad gautų papildomus naudingus krovinius.

ScoringMathTea RAT, pirmą kartą dokumentuotas 2023 m., savo naujausioje versijoje palaiko 40 komandų, kurios suteikia užpuolikams plataus veikimo universalumo – nuo ​​komandų vykdymo iki naujos kenkėjiškos programos pašalinimo.

„Įdiegtas funkcionalumas yra įprastas, kurio reikalauja Lazarus: manipuliavimas failais ir procesais, keitimasis konfigūracija, aukos sistemos informacijos rinkimas, TCP ryšio atidarymas ir vietinių komandų ar naujų iš C&C serverio atsisiųstų naudingųjų apkrovų vykdymas“, – aiškina ESET.

ESET komentuoja, kad nepaisant nuolatinės operacijos „DreamJob“ taktikos ir socialinės inžinerijos viliojimo pranešimuose, ji ir toliau išlieka veiksminga Šiaurės Korėjos grėsmės veikėjų veikimo metodika.

Kibernetinio saugumo įmonė pateikia platų kompromiso (IoC) rodiklių rinkinį, skirtą domenams ir kenkėjiškiems įrankiams, kuriuos Lazarus įsilaužėliai naudojo DreamJob kampanijoje prieš Europos organizacijas gynybos sektoriuje.