• Lazarus richtte zich op verschillende bedrijven actief in de defensie-industrie in Centraal- en Zuidoost-Europa. Sommige van deze bedrijven zijn sterk betrokken bij de drone-sector.
• Lazarus-aanvallen op bedrijven die technologie ontwikkelen voor drones sluiten aan bij recent gerapporteerde ontwikkelingen in het Noord-Koreaanse drone-programma.
• Vermoedelijk was het primaire doel van de aanvallers wellicht de diefstal van bedrijfsinformatie en productiekennis.
ESET Research heeft onlangs een nieuwe vorm van Operatie DreamJob waargenomen – een campagne onder de vlag van de Noord-Koreaanse Lazarus-groep – waarbij verschillende Europese bedrijven actief in de defensie-industrie het doelwit waren. Sommige bedrijven zijn sterk betrokken bij de productie van drones, wat suggereert dat de operatie wellicht verband houdt met de inspanningen van Noord-Korea om zijn drone-programma op te schalen. De aanvallen waren gericht op drie bedrijven actief in de defensiesector in Centraal- en Zuidoost-Europa. De eerste toegang werd met zekerheid verkregen via social engineering. De belangrijkste payload die naar de doelwitten werd gestuurd was ScoringMathTea, een trojan voor toegang op afstand (RAT) die de aanvallers volledige controle geeft over het gecompromitteerde toestel. Vermoedelijk was het eerste doel van de aanvallers het exfiltreren van bedrijfsinformatie en productiekennis.
In Operatie DreamJob is het hoofdthema het aannbieden van lucratieve maar valse jobs , aangevuld met malware: het doelwit ontvangt een nepdocument met een functiebeschrijving en een trojan-achtige PDF-lezer om het te openen. ESET Research schrijft deze actie met grote zekerheid toe aan Lazarus, doorde campagnes rond Operatie DreamJob en omdat de beoogde sectoren, gevestigd in Europa, overeenkomen met de doelwitten van vroegere DreamJob-initiatieven (lucht- en ruimtevaart, defensie, techniek).
De drie beoogde organisaties produceren diverse soorten militair materiaal of onderdelen, waarvan er momenteel veel in Oekraïne worden ingezet dankzij de militaire steun van Europese landen. Toen de activiteiten van Operatie DreamJob zijn waargenomen, waren Noord-Koreaanse soldaten in Rusland gestationeerd, zogezegd om Moskou te helpen het Oekraïense offensief in de Koersk-regio af te slaan. Het is dus mogelijk dat Operatie DreamJob geïnteresseerd was in het verzamelen van gevoelige informatie over in het Westen geproduceerde wapensystemen die in de Oekraïense oorlog gebruikt worden. Deze entiteiten zijn betrokken bij de productie van materieel dat Noord-Korea ook in eigen land produceert en waarvan het hoopt zijn eigen ontwerpen en processen te perfectioneren. De interesse in drone-gerelateerde knowhow is opmerkelijk, daar deze aansluit bij recente mediaberichten waaruit blijkt dat Pyongyang zwaar investeert in de eigen drone’productiecapaciteit. Noord-Korea vertrouwt sterk op reverse engineering en diefstal van intellectuele eigendom om zijn binnenlandse capaciteiten te ontwikkelen.
“Wij denken dat Operatie DreamJob – zeker gedeeltelijk – gericht was op het stelen van bedrijfsinformatie en productiekennis. De vermelding van drones in een van de droppers versterkt deze hypothese”, aldus Peter Kálnai, de ESET-onderzoeker die deze Lazarus-aanvallen ontdekte en analyseerde. “We vonden het bewijs dat een van de doelwitten betrokken is bij de productie van ten minste twee drone-modellen die nu in Oekraïne gebruikt worden en die Noord-Korea wellicht aan het front tegenkwam. Deze entiteit is ook betrokken bij de toeleveringsketen van geavanceerde single-rotor drones, een type toestel dat Pyongyang actief ontwikkelt.”
Lazarus-aanvallers zijn doorgaans erg actief in het inzetten van hun backdoors tegen meerdere doelwitten. Dit frequente gebruik legt deze tools bloot en maakt ze detecteerbaar. Als tegenmaatregel worden die tools in de uitvoeringsketen voorafgegaan door een reeks droppers, loaders en eenvoudige downloaders. De aanvallers besloten hun kwaadaardige laadroutines te integreren in open-sourceprojecten die op GitHub beschikbaar zijn.
De belangrijkste payload, ScoringMathTea, is een complexe RAT die zo’n 40 commando’s ondersteunt. Zijn eerste verschijning gaat terug op VirusTotal-inzendingen uit Portugal en Duitsland in oktober 2022. Daar deed de dropper zich voor als een advertentie voor een baan bij Airbus. De geïmplementeerde functionaliteit is, zoals gebruikelijk voor Lazarus: bestanden en processen manipuleren, het uitwisselen van de configuratie, het verzamelen van de systeeminformatie van het slachtoffer, het openen van een TCP-verbinding en het uitvoeren van lokale commandos of nieuwe payloads die worden gedownload van de C&C-server. Wat de ESET-telemetrie betreft, werd ScoringMathTea gezien in aanvallen op een Indiaas technologiebedrijf in januari 2023, een Pools defensiebedrijf in maart 2023, een Brits bedrijf voor industriële automatisering in oktober 2023 en een Italiaans lucht- en ruimtevaartbedrijf in september 2025. Dit lijkt op een van de belangrijkste ladingen voor de campagnes van Operation DreamJob.
De belangrijkste evolutie van de groep is de introductie van nieuwe bibliotheken ontworpen voor DLL-proxying en de selectie van nieuwe open-sourceprojecten om trojans te gebruiken voor een betere ontwijking. “Bijna drie jaar lang had Lazarus een consistente modus operandi, met de implementatie van ScoringMathTea, de belangrijkste payload, en vergelijkbare methoden om open-sourceapplicaties te trojaniseren. Deze voorspelbare en effectieve strategie levert voldoende polymorfisme op om beveiligingsdetectie te omzeilen, ook al is het onvoldoende om de identiteit van de groep te verbergen en het toekennigsproces te verdoezelen”, concludeert Kálnai.
De Lazarus-groep (ook gekend als HIDDEN COBRA) is een APT-groep die gelinkt is aan Noord-Korea en al sinds 2009 actief is. De groep is verantwoordelijk voor belangrijke incidenten. De diversiteit, het aantal en de excentriciteit in de uitvoering van Lazarus-campagnes kenmerken deze groep, alsook het feit dat het de drie belangrijkste vormen van cybercriminele activiteiten uitvoert: cyber-spionage, cyber-sabotage en financieel gewin.
Operatie DreamJob is een codenaam voor Lazarus-campagnes die gebruikmaken van social engineering, via nep-vacatures voor prestigieuze functies (het zogenaamde “droombaan”-lokmiddel). De doelwitten bevinden zich vooral in de lucht- en ruimtevaart en defensie, gevolgd door ingenieurs- en technologiebedrijven, en de media- en entertainment-sector.
Voor een meer gedetailleerde analyse van de laatste Lazarus DreamJob-campagne tegen de UAV-sector, lees de nieuwste blog van ESET Research “Gotta fly: Lazarus targets the UAV sector” op www.WeLiveSecurity.com . Volg ESET Research op Twitter (nu bekend als X), BlueSky en Mastodon.
Meer lezen
