Как работает схема обмана и на кого охотятся хакеры?

Кибератаки, обнаруженные специалистами компании ESET в конце марта, были частью долговременной кампании под названием "Operation DreamJob". Суть этой операции заключается в том, что северокорейские хакеры выдают себя за рекрутеров крупных компаний (реальных или вымышленных) и обращаются к сотрудникам интересующих их организаций,, с заманчивыми предложениями о работе. Цель – заставить цель скачать вредоносные файлы, которые предоставят злоумышленникам доступ к системам компании. Ранее эту тактику уже применяли против фирм в сфере криптовалют, разработчиков программного обеспечения, журналистов и оборонных предприятий, включая аэрокосмическую отрасль, пишет 24 Канал со ссылкой на Bleeping Computer.

Смотрите также Хакеры атаковали организации, помогающие пострадавшим от войны в Украине

Последние атаки были направлены на трех европейских производителей в секторе обороны: металлообрабатывающую фирму в Юго-Восточной Европе, производителя деталей для самолетов и оборонную компанию в Центральной Европе. Названия компаний не раскрывают, но все эти предприятия производят военное оборудование, которое их страны поставляют в Украину в качестве военной помощи.

Две из этих компаний непосредственно связаны с разработкой технологий для беспилотных летательных аппаратов. Одна из них производит критически важные компоненты для дронов, а другая, по имеющимся данным, занимается разработкой программного обеспечения для них.

  • Анализ цепочки заражения показал, что атака начиналась с запуска жертвой модифицированной версии легитимной программы или плагина с открытым кодом. Среди таких программ были MuPDF viewer, Notepad++, плагины для WinMerge, TightVNC Viewer и другие. Для загрузки вредоносного программного обеспечения хакеры использовали технику DLL sideloading, которая позволяет скрыть злонамеренную активность с помощью уязвимой, но легальной программы, отметили в отчете ESET.
  • На следующем этапе вредоносный код расшифровывался и загружался непосредственно в оперативную память компьютера, что затрудняло его обнаружение антивирусами.
  • Конечным элементом атаки был троян удаленного доступа (RAT) под названием ScoringMathTea. Эта программа устанавливала связь с командно-контрольным сервером хакеров и ждала дальнейших инструкций.

Последняя версия этого трояна поддерживает 40 команд, что дает злоумышленникам широкие возможности: от выполнения команд на зараженном компьютере до установки нового вредоносного ПО. По данным ESET, функционал трояна позволяет манипулировать файлами и процессами, собирать информацию о системе жертвы, открывать TCP-соединения и выполнять новые команды, загруженные с сервера.

Эксперты отмечают, что несмотря на неоднократное разоблачение тактик "Operation DreamJob", этот метод социальной инженерии остается эффективным инструментом для северокорейских хакеров.

Интерес к технологиям БПЛА растет с каждым днем, поэтому неудивительно, что КНДР стремится создать собственный арсенал беспилотников, "вдохновленный" западными разработками.

Что известно о Lazarus Group?

Группировка Lazarus (также известная как APT38, Hidden Cobra и Guardians of Peace) - это элитная группа хакеров, которую спонсирует правительство Северной Кореи. Считается, что она действует по меньшей мере с 2009 года и несет ответственность за ряд масштабных кибератак, направленных на финансовые учреждения, криптовалютные биржи и правительственные структуры по всему миру.

Основной целью группировки является генерация незаконных доходов для финансирования северокорейского режима, в частности его ядерной и ракетной программ, в обход международных санкций. По данным аналитиков, с 2017 года Lazarus Group украла из криптовалютной индустрии около 6 миллиардов долларов. В самой Северной Корее, по словам перебежчика, подразделение известно как "Бюро 414".

Lazarus использует разнообразные и сложные методы для достижения своих целей. Их операции часто сочетают техническое мастерство с методами социальной инженерии.

Исследователи отмечают, что Lazarus состоит из нескольких команд разного уровня квалификации. Они действуют методично, но в то же время более безрассудно, чем другие государственные хакерские группы, поскольку не боятся наказания со стороны собственного правительства.

Группировка Lazarus несет ответственность за одни из самых дерзких киберограблений в истории. Вот хронология их основных атак:

  • 2009, Operation Troy. Первая крупная атака,, использовавшая методы DDoS против сайтов в США и Южной Корее.

  • 2013, DarkSeoul. Атака на три южнокорейские компании, финансовые учреждения и интернет-провайдера, во время которой было использовано вредоносное ПО для уничтожения данных.

  • 2016, ограбление банка в Бангладеш. Одна из самых известных операций, во время которой хакеры попытались похитить почти 1 миллиард долларов из Центрального банка Бангладеш. Им удалось вывести 101 миллион, прежде чем транзакции были остановлены.

  • 2022, взлом Ronin Bridge. Lazarus похитили криптовалюту на сумму 625 миллионов долларов, что стало одним из крупнейших ограблений в криптоиндустрии.

  • 2024, волна атак на криптобиржи. В течение года группа осуществила несколько крупных взломов, в частности индийской биржи WazirX (235 миллионов долларов) и японской DMM Bitcoin (308 миллионов долларов).

  • 2025, атака на Bybit. В феврале 2025 года хакеры совершили успешную атаку на криптовалютную биржу Bybit, похитив 1,5 миллиарда долларов.

В последние годы группа активизировала кампании, нацеленные на разработчиков Web3 и сотрудников организаций, связанных с ядерной энергетикой, что свидетельствует о расширении их интересов и возможностей.