Célkeresztben a dróntechnológia
Az akció márciusban zajlott, amikor a Lazarus az UAV-, vagyis dróntechnológia fejlesztőire fókuszált, amely napjaink geopolitikai eseményei miatt került előtérbe. Észak-Korea az utóbbi időben egyre több erőforrást fordít modern drónok fejlesztésére, gyakran nyugati mintára.
Az ESET szakértői szerint a támadások egy délkelet-európai fémipari céget, egy közép-európai repülőalkatrész-gyártót és egy szintén közép-európai védelmi vállalatot érintettek, amelyek mind segítik Ukrajnát katonai felszerelésekkel. Közülük kettő egyértelműen kulcsfontosságú drónkomponenseket fejleszt vagy drónszoftvereket ír.
Kifinomult támadási lánc
A Lazarus-csoport a fertőzött rendszerekbe trükkösen építette be a kártevőt: a célszemély egy ártalmatlannak tűnő, de valójában trójai programot vagy plugint (például MuPDF, Notepad++, WinMerge, TightVNC Viewer, libpcre vagy DirectX wrapper) indított el. Ekkor a támadók a DLL-sideloading módszerrel juttatták be a kártékony kódot, amely népszerű, de sérülékeny szoftverek segítségével töltődött be.
A következő lépésben a malware gyorsan a memóriába töltődött. A végső rosszindulatú program, a ScoringMathTea RAT, távoli vezérlést tesz lehetővé: 40 különböző parancsot támogat, az adatgyűjtéstől a további kártékony programok letöltéséig.
Egy alternatív verzióban a BinMergeLoader (MISTPEN) nevű betöltőt használták, amely a Microsoft Graph API-jával szerez be további káros állományokat.
Az észak-koreai hackerek kitartó akciója
A DreamJob módszer, amely rendszerint hamis HR-es profilokkal csapdázza be az áldozatokat, továbbra is rendkívül hatékony – hiába leplezték már le többször világszerte. Az ESET kutatói részletes technikai bizonyítékokat is közöltek a most használt kártékony programokról és hálózati címekről, hogy az európai védelmi szektor vállalatai időben védekezni tudjanak az újabb támadások ellen.
