HackerNews 编译,转载请注明出处:
与朝鲜有关联的威胁行为者发起了新一轮攻击,目标是活跃于国防领域的欧洲企业。此次攻击是 “梦想工作行动”长期活动的一部分。
ESET 安全研究员彼得・卡尔奈和亚历克西斯・拉潘在一份分享给 The Hacker News 的报告中表示:“部分目标企业深度涉足无人机领域,这表明该行动可能与朝鲜当前扩大其无人机项目的努力有关。”
这家斯洛伐克网络安全公司称,其于 2025 年 3 月底首次发现该活动。部分被攻击实体包括:东南欧一家金属工程公司、中欧一家飞机零部件制造商,以及中欧一家国防企业。
恶意软件
经评估,该活动的最终目标是窃取专有信息和制造技术,所使用的恶意软件家族包括 ScoringMathTea 和 MISTPEN。
ScoringMathTea 的首次出现可追溯至 2022 年 10 月。此前曾于 2023 年初被 ESET 发现,当时它被用于攻击印度一家科技公司和波兰一家国防承包商。
而 MISTPEN 则于 2024 年 9 月被Google和Mandiant记录在案,当时它被用于入侵能源和航空航天领域的企业。
“梦想工作行动” 最早由以色列网络安全公司 ClearSky 于 2020 年曝光,是朝鲜一个多产黑客组织Lazarus Group发起的持续性攻击活动。该黑客集团还有多个追踪代号,包括 APT-Q-1、Black Artemis、Diamond Sleet、Hidden Cobra、TEMP.Hermit 和 UNC2970。据信,该黑客集团至少自 2009 年起就已开始运作。
攻击手段
在这些攻击中,威胁行为者利用类似 “传染性面试”的社会工程学诱饵,向潜在目标提供高薪工作机会,诱骗他们在系统中植入恶意软件。
该活动还与多个攻击集群存在关联,包括 DeathNote、NukeSped、Operation In (ter) ception和Operation North Star。
ESET 研究员表示:“这类攻击的核心模式是‘高薪虚假工作机会 + 恶意软件’:目标会收到包含职位描述的诱饵文档,以及一个用于打开该文档的植入了木马的 PDF 阅读器。”
攻击链最终会执行一个二进制文件,该文件负责侧载一个恶意动态链接库(DLL)。这个恶意 DLL 会释放 ScoringMathTea,同时还会释放一个名为 BinMergeLoader 的复杂下载器。BinMergeLoader 的功能与 MISTPEN 类似,会利用微软图形接口和令牌获取更多有效载荷。
研究人员还发现了另一种感染流程:通过一个未知的投放器交付两个中间有效载荷,第一个中间有效载荷会加载第二个,最终部署 ScoringMathTea。
ScoringMathTea 是一款高级远程访问木马,支持约 40 条命令,可完全控制被入侵的设备。
ESET 表示:“近三年来,Lazarus Group一直保持着固定的攻击模式,部署其偏好的主要有效载荷 ScoringMathTea,并使用类似方法在开源应用中植入木马。
这种模式虽可预测,但十分有效,能通过足够的多态性规避安全检测,即便它无法隐藏该集团的身份,也无法干扰溯源过程。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
