Открыл резюме — слил чертежи дрона. Как хакеры Lazarus охотятся на секреты европейских БПЛА 15:05 / 26 октября, 2025 Lazarus ESET КНДР UAV ScoringMathTea DreamJob кибершпионаж Пхеньян выбирает цели точечно: под удар попали разработчики компонентов и программного обеспечения для беспилотников. Хакерская группировка Lazarus снова дала о себе знать — на этот раз её целью стали европейские оборонные компании, занимающиеся разработкой беспилотников. По данным ESET, активность хакеров укладывается в рамки кампании DreamJob, которая связана с КНДР и регулярно использует поддельные предложения работы как способ заражения жертв вредоносным ПО. На этот раз пострадали три предприятия из Центральной и Юго-Восточной Европы, включая производителя деталей для беспилотных летательных аппаратов и компанию, создающую ПО для дронов. Вход в инфраструктуру был получен через вредоносные PDF-читалки, которые предлагались вместе с описанием вакансий. Основным инструментом в этой волне атак вновь использовался удалённый троян ScoringMathTea, ранее применявшийся в аналогичных операциях. Вредонос обеспечивал полный контроль над заражённым устройством, включая удалённое выполнение команд, кражу данных и загрузку дополнительных модулей. Управляющие серверы располагались в каталогах WordPress на скомпрометированных сайтах. Особенность обнаруженных образцов — упоминание слова «drone» в имени одной из библиотек, что, по мнению аналитиков, напрямую указывает на приоритетный интерес к технологиям беспилотников. Всё происходящее, по оценке ESET, вполне вписывается в геополитический контекст, но не исключено, что целью была не только разведка, но и получение сведений, которые помогут Пхеньяну продвинуть собственные БПЛА. На этом фоне интерес Lazarus к западным инженерным наработкам вполне логичен: по данным открытых источников, текущие модели дронов Северной Кореи внешне копируют американские аппараты RQ-4 Global Hawk и MQ-9 Reaper. С технической стороны, кампания 2025 года отличалась обновлённым набором вредоносных инструментов. Помимо уже известных компонентов вроде ScoringMathTea, использовались заражённые версии библиотек libpcre, TightVNC, плагинов WinMerge и Notepad++, а также вредоносный загрузчик QuanPinLoader, маскирующийся под библиотеку DirectInput. В качестве механизма внедрения широко применялась техника DLL proxying: вредоносные библиотеки содержали как оригинальные экспортируемые функции, так и собственный вредоносный код. Интересно, что все вредоносные компоненты распространялись через троянизированные open source проекты с GitHub, подобранные индивидуально под каждую атаку. Один из дропperов был замаскирован под библиотеку webservices.dll от Windows и имел внутреннее имя DroneEXEHijackingLoader.dll, что дополнительно подтверждает фокус группы на теме БПЛА. Сценарий заражения оставался прежним: жертве отправлялось письмо с описанием якобы престижной вакансии и вложением, при открытии которого запускалась цепочка загрузчиков. В одном из таких случаев из Италии были загружены вредоносные версии PDF-читалки MuPDF, плагинов для Notepad++ и даже компонентов от Microsoft. Финальной целью всегда оставался ScoringMathTea, который, по данным ESET, применяется в аналогичных атаках как минимум с 2022 года, включая случаи в Индии, Польше, Великобритании и Италии. Несмотря на узнаваемую тактику и публичность предыдущих атак, Lazarus продолжает добиваться успеха за счёт умеренной вариативности, технической эволюции инструментов и недостаточной осведомлённости сотрудников в чувствительных отраслях. В условиях, когда КНДР наращивает производство дронов и явно заинтересована в экспорте военных технологий, можно ожидать, что кибершпионаж в этом секторе будет лишь усиливаться. Хватит бороться с ложными срабатываниями! Мы покажем, как связка Security Vision и «Технологий киберугроз» создаёт «живой» контур защиты, который сам выявляет и блокирует угрозы. Реклама. 18+, ООО «Интеллектуальная безопасность», ИНН 7719435412 Поделиться новостью: Закрыть Подпишитесь на email рассылку Подпишитесь на получение последних материалов по безопасности от SecurityLab.ru — новости, статьи, обзоры уязвимостей и мнения аналитиков. Ежедневный выпуск от SecurityLab.Ru Source: https://www.securitylab.ru/news/565114.php