朝鲜黑客利用虚假工作引诱国防工程师窃取无人机机密

与朝鲜有关联的威胁行为者被指对活跃于国防工业的欧洲公司发动了新一轮攻击，这是长期行动“梦想工作行动”的一部分。

ESET 安全研究人员 Peter Kálnai 和 Alexis Rapin 在与 The Hacker News分享的一份报告中表示：“其中一些公司深度涉足无人机领域，这表明此次行动可能与朝鲜目前扩大无人机计划的努力有关。 ”

据评估，该攻击活动的最终目标是利用 ScoringMathTea 和 MISTPEN 等恶意软件家族窃取专有信息和制造技术。这家斯洛伐克网络安全公司表示，他们观察到该攻击活动始于 2025 年 3 月下旬。

DFIR 保留服务
目标实体包括东南欧的一家金属工程公司、中欧的一家飞机零部件制造商以及中欧的一家国防公司。

尽管 ESET早在 2023 年初就观察到ScoringMathTea（又名ForestTiger）与针对一家印度科技公司和一家波兰国防承包商的网络攻击有关，但谷歌 Mandiant 于 2024 年 9 月记录了 MISTPEN，认为它是针对能源和航空航天垂直行业的入侵活动的一部分。ScoringMathTea 的首次出现可以追溯到 2022 年 10 月。

“梦想工作行动”（Operation Dream Job）于2020年首次被以色列网络安全公司ClearSky曝光，这是一场由活跃的朝鲜黑客组织Lazarus Group发起的持续性攻击活动。该组织也被追踪为APT-Q-1、Black Artemis、Diamond Sleet（原名Zinc）、Hidden Cobra、TEMP.Hermit和UNC2970。据信该黑客组织至少从2009年就开始活跃。


在这些攻击中，威胁行为者利用类似“传染性访谈”之类的社会工程学诱饵，向潜在目标提供丰厚的工作机会，并诱骗其系统感染恶意软件。该活动还与“死亡笔记”、“NukeSped”、“拦截行动”和“北极星行动”等追踪到的攻击集群存在重叠。

ESET 研究人员表示：“该恶意软件的主要主题是提供一份利润丰厚的虚假工作机会，并附带恶意软件：目标用户会收到一份带有工作描述的诱饵文档和一个带有木马病毒的 PDF 阅读器来打开它。”

CIS 构建套件
攻击链导致二进制文件的执行，该二进制文件负责侧载一个恶意 DLL，该 DLL 会释放 ScoringMathTea 以及一个代号为 BinMergeLoader 的复杂下载程序，该下载程序的功能类似于 MISTPEN，并使用 Microsoft Graph API 和令牌来获取其他有效负载。

已发现替代感染序列利用未知的投放器来传递两个临时有效载荷，第一个有效载荷加载后者，最终导致部署 ScoringMathTea，这是一种高级 RAT，支持大约 40 个命令来完全控制受感染的机器。

ESET 表示：“近三年来，Lazarus 一直保持着一贯的作案手法，部署其惯用的主要载荷 ScoringMathTea，并使用类似的方法对开源应用程序进行木马化。这种可预测但有效的策略提供了足够的多态性来逃避安全检测，即使它不足以掩盖该组织的身份并模糊归因过程。”