Хакеры КНДР охотятся за секретами БПЛА через фиктивные рабочие места
Дата: 23.10.2025Просмотров: 2282
Хакеры КНДР охотятся за секретами БПЛА через фиктивные рабочие места
Хакеры, предположительно действующие из Северной Кореи, проводят новую серию нападений на европейский оборонпром посредством фейковых предложений вакансий в рамках продолжительной операции под названием «Идеальная работа».
Специалисты по информационной безопасности компании ESET сообщили в своём докладе, опубликованном ресурсом The Hacker News, что целью нападения являются фирмы, вовлечённые в разработку беспилотных летательных аппаратов (БПЛА). Это даёт основания полагать, что акции направлены на расширение возможностей КНДР в области беспилотных технологий.
Цель кампании заключается в краже интеллектуальной собственности и промышленных технологий с использованием специализированного вредоносного программного обеспечения вроде ScoringMathTea и MISTPEN. Исследователи отметили активность злоумышленников начиная с конца марта 2025 года.
Среди пострадавших компаний числятся предприятия машиностроительной отрасли Юго-Восточной Европы, авиапроизводители Центральной Европы и военные структуры той же зоны.
Ранее программа ScoringMathTea была выявлена специалистами ESET ещё в 2023 году при проведении аналогичных киберопераций против польских предприятий оборонпрома и индийских технологических фирм. MISTPEN стала предметом исследований Google Mandiant осенью 2024-го, фигурируя в операциях против энергетического сектора и авиастроителей.
Под именем «Operation Dream Job» данная деятельность впервые получила огласку благодаря усилиям израильского подразделения ClearSky в 2020-м. Она осуществляется активной группировкой Lazarus Group, известная также как APT-Q-1, Black Artemis, Hidden Cobra и UNC2970. Группа имеет репутацию многолетнего игрока в сфере киберпреступлений с начала 2009 года.
Методология атак включает манипуляции методами социальной инженерии, похожие на методику «Инфицирующее собеседование»: жертвы получают привлекательные объявления о работе вместе с заражённым файлом резюме и читалки PDF-файлов, что способствует проникновению вредоносного ПО в корпоративные сети.
Последующая цепочка заражения приводит к установке бинарника, обеспечивающего выполнение вредоносной библиотеки DLL, инициирующей работу трояна ScoringMathTea, а также утилиты BinMergeLoader, обладающей схожими функциями с MISTPEN и способной получать доступ к дополнительным данным через API Microsoft Graph.
Исследования выявили наличие иных схем инфицирования, включающих использование неопознанных распространителей, доставляющих два промежуточных модуля, завершающихся активацией ScoringMathTea — продвинутого инструмента удалённого администрирования, имеющего порядка сорока функций для управления взломанными системами.
ESET резюмировал: «За три года команда Lazarus последовательно применяла одну и ту же стратегию, внедряя главную угрозу ScoringMathTea и эксплуатируя сходные техники компрометации открытых приложений. Хотя такая методика достаточно легко узнаваема, её регулярное обновление помогает избегать детектирования антивирусными решениями».
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Инновационный суперкомпьютер российско-китайского вуза открывает новые горизонты в материаловедении
Инновационный суперкомпьютер российско-китайского вуза открывает новые горизонты в материаловедении
Передовые технологии получили практическое применение в российско-китайском университете МГУ-ППИ, расположенном в Шэньчжэне. Здесь начал работу уникальный учебный суперкомпьютер, предназначенный для углубленных исследований в сфере материаловедения и инновационных методов геологоразведки. Об этом сообщил декан факультета вычислительной математики и кибернетики Борис Будак в рамках Недели открытой науки БРИКС+.
Китайские группировки применили ToolShell-уязвимость спустя короткое время после июньского апдейта Microsoft
Китайские группировки применили ToolShell-уязвимость спустя короткое время после июньского апдейта Microsoft
Подразделения китайского кибершпионажа успешно эксплуатировали уязвимость безопасности ToolShell в продуктах Microsoft SharePoint, напав на телеком-компании на Ближнем Востоке вскоре после публикации подробностей об ошибке и её устранения в июне 2025-го.
Группировка, связанная с Ираном, провела масштабную кибершпионскую операцию против сотен объектов
Группировка, связанная с Ираном, провела масштабную кибершпионскую операцию против сотен объектов
Операцию, проведённую иранской государственной хакерской группой MuddyWater, связывают с новой крупной кампанией, направленной на компрометацию более сотни компаний и ведомств региона Ближнего Востока и Северной Африки (MENA). Для достижения своей цели злоумышленники использовали взломанные почтовые аккаунты, отправляя жертвам замаскированные фишинговые письма с целью внедрения вредоносного программного обеспечения.