Хакеры, предположительно действующие из Северной Кореи, проводят новую серию нападений на европейский оборонпром посредством фейковых предложений вакансий в рамках продолжительной операции под названием «Идеальная работа».
Специалисты по информационной безопасности компании ESET сообщили в своём докладе, опубликованном ресурсом The Hacker News, что целью нападения являются фирмы, вовлечённые в разработку беспилотных летательных аппаратов (БПЛА). Это даёт основания полагать, что акции направлены на расширение возможностей КНДР в области беспилотных технологий.
Цель кампании заключается в краже интеллектуальной собственности и промышленных технологий с использованием специализированного вредоносного программного обеспечения вроде ScoringMathTea и MISTPEN. Исследователи отметили активность злоумышленников начиная с конца марта 2025 года.
Среди пострадавших компаний числятся предприятия машиностроительной отрасли Юго-Восточной Европы, авиапроизводители Центральной Европы и военные структуры той же зоны.
Ранее программа ScoringMathTea была выявлена специалистами ESET ещё в 2023 году при проведении аналогичных киберопераций против польских предприятий оборонпрома и индийских технологических фирм. MISTPEN стала предметом исследований Google Mandiant осенью 2024-го, фигурируя в операциях против энергетического сектора и авиастроителей.
Под именем «Operation Dream Job» данная деятельность впервые получила огласку благодаря усилиям израильского подразделения ClearSky в 2020-м. Она осуществляется активной группировкой Lazarus Group, известная также как APT-Q-1, Black Artemis, Hidden Cobra и UNC2970. Группа имеет репутацию многолетнего игрока в сфере киберпреступлений с начала 2009 года.
Методология атак включает манипуляции методами социальной инженерии, похожие на методику «Инфицирующее собеседование»: жертвы получают привлекательные объявления о работе вместе с заражённым файлом резюме и читалки PDF-файлов, что способствует проникновению вредоносного ПО в корпоративные сети.
Последующая цепочка заражения приводит к установке бинарника, обеспечивающего выполнение вредоносной библиотеки DLL, инициирующей работу трояна ScoringMathTea, а также утилиты BinMergeLoader, обладающей схожими функциями с MISTPEN и способной получать доступ к дополнительным данным через API Microsoft Graph.
Исследования выявили наличие иных схем инфицирования, включающих использование неопознанных распространителей, доставляющих два промежуточных модуля, завершающихся активацией ScoringMathTea — продвинутого инструмента удалённого администрирования, имеющего порядка сорока функций для управления взломанными системами.
ESET резюмировал: «За три года команда Lazarus последовательно применяла одну и ту же стратегию, внедряя главную угрозу ScoringMathTea и эксплуатируя сходные техники компрометации открытых приложений. Хотя такая методика достаточно легко узнаваема, её регулярное обновление помогает избегать детектирования антивирусными решениями».
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Томские специалисты из Университета систем управления и радиоэлектроники (ТУСУР) готовятся к запуску масштабного проекта по созданию революционного терморегулирующего покрытия для космической техники. Старт разработки намечен на 2026 год.
В вашингтонском Институте предпринимательства (AEI) представили свежий взгляд на будущее мирового лидерства. Аналитик Майкл Бекли в статье для Foreign Affairs предсказывает, что на фоне глобального застоя Америка уверенно идёт к вершинам могущества. Его видение будущего напоминает захватывающий голливудский триллер, где на фоне всеобщего упадка американский флаг продолжает гордо развеваться.
Передовые технологии получили практическое применение в российско-китайском университете МГУ-ППИ, расположенном в Шэньчжэне. Здесь начал работу уникальный учебный суперкомпьютер, предназначенный для углубленных исследований в сфере материаловедения и инновационных методов геологоразведки. Об этом сообщил декан факультета вычислительной математики и кибернетики Борис Будак в рамках Недели открытой науки БРИКС+.