Северокорейская хакерская группировка Lazarus Group, также известная как APT-Q-1, Black Artemis и Diamond Sleet, активизировала кампанию кибершпионажа под названием «Operation Dream Job». С конца марта 2025 года зафиксирована новая волна атак, нацеленных на европейские компании в оборонной и аэрокосмической отраслях. Основной интерес злоумышленников сосредоточен на производителях беспилотных летательных аппаратов (БПЛА), чьи технологии и производственные секреты являются главной целью хищения.
Основная задача операции — промышленный шпионаж, направленный на поддержку национальной программы Северной Кореи по разработке и масштабированию производства беспилотников. Под прицелом оказались, в частности, металлургическая компания в Юго-Восточной Европе, производитель авиационных компонентов и оборонное предприятие в Центральной Европе. Ранее в рамках смежных кампаний атакам подвергались технологическая компания из Индии и оборонный подрядчик из Польши.
Методика атак строится на социальной инженерии. Сотрудникам целевых компаний направляются заманчивые, но фальшивые предложения о работе. Для ознакомления с вакансией жертве предлагается открыть документ-приманку с помощью троянизированной программы для чтения PDF-файлов, что приводит к заражению системы. Данная кампания, впервые разоблаченная израильской фирмой ClearSky еще в 2020 году, остается активной и постоянно эволюционирует.
Техническая цепочка заражения начинается с запуска исполняемого файла, который методом DLL sideloading подгружает вредоносную библиотеку. Эта библиотека, в свою очередь, развертывает на скомпрометированной машине два основных компонента: основной троян удаленного доступа (RAT) ScoringMathTea и сложный загрузчик BinMergeLoader. Существует и альтернативная схема, где неизвестный дроппер доставляет промежуточные полезные нагрузки, которые в итоге также устанавливают ScoringMathTea.
Ключевым инструментом в арсенале Lazarus Group является троян ScoringMathTea, также известный как ForestTiger. Впервые он был замечен в октябре 2022 года. Этот RAT поддерживает около 40 команд, предоставляя атакующим полный контроль над зараженной машиной. Специалисты словацкой компании ESET, Питер Калнаи и Алексис Рапин, отмечают, что ScoringMathTea является «предпочтительной основной полезной нагрузкой» группировки. В начале 2023 года ESET фиксировала его использование в атаках на индийские и польские организации.
Для загрузки дополнительных вредоносных модулей используется загрузчик BinMergeLoader. Он функционирует аналогично другому вредоносному семейству под названием MISTPEN, задокументированному Google Mandiant в сентябре 2024 года в ходе атак на энергетические и аэрокосмические компании. BinMergeLoader использует Microsoft Graph API и токены для получения полезных нагрузок с командно-контрольных серверов, что усложняет его обнаружение.
Группировка Lazarus Group, действующая как минимум с 2009 года, известна под множеством псевдонимов, включая Hidden Cobra, TEMP.Hermit и UNC2970. Несмотря на предсказуемость тактики, использование полиморфизма позволяет им обходить защитные решения. Кампания «Operation Dream Job» пересекается с другими известными кластерами активности группы, такими как DeathNote, NukeSped, Operation In(ter)ception, Operation North Star и Contagious Interview, что свидетельствует о масштабе и постоянстве их операций.
Изображение носит иллюстративный характер
Основная задача операции — промышленный шпионаж, направленный на поддержку национальной программы Северной Кореи по разработке и масштабированию производства беспилотников. Под прицелом оказались, в частности, металлургическая компания в Юго-Восточной Европе, производитель авиационных компонентов и оборонное предприятие в Центральной Европе. Ранее в рамках смежных кампаний атакам подвергались технологическая компания из Индии и оборонный подрядчик из Польши.
Методика атак строится на социальной инженерии. Сотрудникам целевых компаний направляются заманчивые, но фальшивые предложения о работе. Для ознакомления с вакансией жертве предлагается открыть документ-приманку с помощью троянизированной программы для чтения PDF-файлов, что приводит к заражению системы. Данная кампания, впервые разоблаченная израильской фирмой ClearSky еще в 2020 году, остается активной и постоянно эволюционирует.
Техническая цепочка заражения начинается с запуска исполняемого файла, который методом DLL sideloading подгружает вредоносную библиотеку. Эта библиотека, в свою очередь, развертывает на скомпрометированной машине два основных компонента: основной троян удаленного доступа (RAT) ScoringMathTea и сложный загрузчик BinMergeLoader. Существует и альтернативная схема, где неизвестный дроппер доставляет промежуточные полезные нагрузки, которые в итоге также устанавливают ScoringMathTea.
Ключевым инструментом в арсенале Lazarus Group является троян ScoringMathTea, также известный как ForestTiger. Впервые он был замечен в октябре 2022 года. Этот RAT поддерживает около 40 команд, предоставляя атакующим полный контроль над зараженной машиной. Специалисты словацкой компании ESET, Питер Калнаи и Алексис Рапин, отмечают, что ScoringMathTea является «предпочтительной основной полезной нагрузкой» группировки. В начале 2023 года ESET фиксировала его использование в атаках на индийские и польские организации.
Для загрузки дополнительных вредоносных модулей используется загрузчик BinMergeLoader. Он функционирует аналогично другому вредоносному семейству под названием MISTPEN, задокументированному Google Mandiant в сентябре 2024 года в ходе атак на энергетические и аэрокосмические компании. BinMergeLoader использует Microsoft Graph API и токены для получения полезных нагрузок с командно-контрольных серверов, что усложняет его обнаружение.
Группировка Lazarus Group, действующая как минимум с 2009 года, известна под множеством псевдонимов, включая Hidden Cobra, TEMP.Hermit и UNC2970. Несмотря на предсказуемость тактики, использование полиморфизма позволяет им обходить защитные решения. Кампания «Operation Dream Job» пересекается с другими известными кластерами активности группы, такими как DeathNote, NukeSped, Operation In(ter)ception, Operation North Star и Contagious Interview, что свидетельствует о масштабе и постоянстве их операций.
