Kuzey Kore ile bağlantısı olan tehdit aktörlerinin, uzun süredir devam eden bir kampanyanın parçası olarak savunma sanayinde faaliyet gösteren Avrupalı şirketleri hedef alan yeni bir saldırı dalgasına atfedildi. Rüya İşi Operasyonu.
ESET güvenlik araştırmacıları Peter Kálnai ve Alexis Rapin, The Hacker News ile paylaşılan bir raporda “Bu şirketlerden bazıları yoğun olarak insansız hava aracı (İHA) sektörüyle ilgileniyor ve bu da operasyonun Kuzey Kore’nin drone programını büyütmeye yönelik mevcut çabalarıyla bağlantılı olabileceğini gösteriyor.” dedi. [companies’areheavilyinvolvedintheunmannedaerialvehicle(UAV)sectorsuggestingthattheoperationmaybelinkedtoNorthKorea’scurrenteffortstoscaleupitsdroneprogram”ESETsecurityresearchersPeterKálnaiandAlexisRapinsaidinareportsharedwithTheHackerNews
Kampanyanın nihai hedefinin, ScoringMathTea ve MISTPEN gibi kötü amaçlı yazılım ailelerini kullanarak özel bilgileri ve üretim teknik bilgilerini yağmalamak olduğu değerlendiriliyor. Slovak siber güvenlik şirketi, kampanyayı Mart 2025’in sonlarından itibaren gözlemlediğini söyledi.
Hedeflenen kuruluşlardan bazıları arasında Güneydoğu Avrupa’da bir metal mühendislik şirketi, Orta Avrupa’da bir uçak parçaları üreticisi ve Orta Avrupa’da bir savunma şirketi yer alıyor.
ScoringMathTea (diğer adıyla ForestTiger) daha önce ESET tarafından 2023’ün başlarında Hintli bir teknoloji şirketini ve Polonya’daki bir savunma yüklenicisini hedef alan siber saldırılarla bağlantılı olarak gözlemlenmişken, MISTPEN Eylül 2024’te enerji ve havacılık sektöründeki şirketlere yönelik izinsiz girişlerin bir parçası olarak Google Mandiant tarafından belgelendi. ScoringMathTea’nin ilk görünümü Ekim 2022’ye kadar uzanıyor.
İsrailli siber güvenlik şirketi ClearSky tarafından ilk kez 2020’de açığa çıkarılan Dream Job Operasyonu, aynı zamanda APT-Q-1, Black Artemis, Diamond Sleet (eski adıyla Zinc), Hidden Cobra, TEMP.Hermit ve UNC2970 olarak da takip edilen Lazarus Group adlı üretken bir Kuzey Koreli bilgisayar korsanlığı grubu tarafından başlatılan kalıcı bir saldırı kampanyasıdır. Hacking grubunun en az 2009’dan beri faaliyette olduğuna inanılıyor.
Bu saldırılarda tehdit aktörleri, potansiyel hedeflere kazançlı iş fırsatlarıyla yaklaşmak ve onları sistemlerine kötü amaçlı yazılım bulaştırmaları için kandırmak amacıyla Bulaşıcı Mülakat benzeri sosyal mühendislik tuzaklarından yararlanıyor. Kampanya aynı zamanda DeathNote, NukeSped, Operation In(ter)ception ve Operation North Star olarak takip edilen kümelerle örtüşmeler de sergiliyor.
ESET araştırmacıları, “Baskın tema, kötü amaçlı yazılım içeren kazançlı ancak sahte bir iş teklifidir: hedef, iş tanımını içeren sahte bir belge ve onu açmak için truva atı haline getirilmiş bir PDF okuyucu alır.” dedi.
Saldırı zinciri, ScoringMathTea’yi düşüren kötü amaçlı bir DLL dosyasının yanı sıra MISTPEN’e benzer şekilde çalışan ve ek yükler almak için Microsoft Graph API’sini ve belirteçlerini kullanan BinMergeLoader kod adlı gelişmiş bir indiricinin dışarıdan yüklenmesinden sorumlu olan bir ikili dosyanın yürütülmesine yol açar.
Alternatif enfeksiyon dizilerinin, iki ara veri yüklemek için bilinmeyen bir damlalıktan yararlandığı bulundu; bunlardan ilki ikincisini yüklüyor ve sonuç olarak, ele geçirilen makineler üzerinde tam kontrol sağlamak için yaklaşık 40 komutu destekleyen gelişmiş bir RAT olan ScoringMathTea’nin konuşlandırılmasıyla sonuçlanıyor.
ESET, “Yaklaşık üç yıldır Lazarus, tercih ettiği ana veri olan ScoringMathTea’yi dağıtarak ve açık kaynak uygulamaları truva atı haline getirmek için benzer yöntemler kullanarak tutarlı bir işleyiş tarzını sürdürdü.” dedi. “Bu öngörülebilir ancak etkili strateji, grubun kimliğini maskelemek ve ilişkilendirme sürecini gizlemek için yetersiz olsa bile, güvenlik tespitinden kaçınmak için yeterli polimorfizm sağlıyor.”