Эксперты «Лаборатории Касперского» выявили масштабное развитие операции DreamJob, проводимой известной хакерской группировкой Lazarus. В рамках новой волны атак злоумышленники используют изощренные методы социальной инженерии, маскируя вредоносное ПО под тестовые задания для ИТ-специалистов. Особую тревогу вызывает смена фокуса атак на предприятия атомной промышленности.
Эволюция тактики DreamJob
Впервые обнаруженная в 2019 году кампания DreamJob существенно расширила географию своего присутствия. Если изначально целью были криптовалютные компании, то к 2024 году вектор атак сместился на ИТ-сектор и оборонную промышленность в Европе, Латинской Америке, Южной Корее и Африке. Новейшая волна атак сконцентрирована на атомной отрасли Бразилии, что указывает на стратегическую переориентацию группировки.
Усовершенствованные методы проникновения
Хакеры разработали сложную многоступенчатую схему внедрения вредоносного ПО. Ключевым компонентом стала троянская VNC-программа, которая использует легитимные инструменты удаленного доступа в качестве прикрытия. Процесс атаки включает несколько этапов: от первичного заражения через AmazonVNC.exe до развертывания специализированных загрузчиков Ranid Downloader и последующей установки вредоносных модулей MISTPEN, RollMid и LPEClient.
Новый бэкдор CookiePlus
В арсенале группировки появился ранее неизвестный бэкдор CookiePlus, замаскированный под плагин для Notepad++. Это вредоносное ПО обладает продвинутым функционалом: сбор системной информации, управление режимом сна основного модуля и настройка расписания выполнения вредоносных действий. Особенность CookiePlus заключается в способности модифицировать конфигурационные файлы для длительного сохранения доступа к зараженной системе.
Текущая кампания демонстрирует значительное усложнение методов кибершпионажа. Способность вредоносного ПО откладывать активность и манипулировать системными процессами существенно затрудняет его обнаружение традиционными средствами защиты. Это требует от организаций внедрения комплексных систем безопасности с акцентом на проактивное обнаружение угроз и постоянный мониторинг подозрительной активности в корпоративных сетях.
