В октябре 2026 года исследователи кибербезопасности из ESET раскрыли новую кампанию кибершпионажа северокорейской APT-группы Lazarus, получившую название "Operation DreamJob".

Кампания, названная ESET "Gotta Fly", нацелена на компании, занимающиеся производством беспилотных летательных аппаратов (БПЛА), которые поставляют технологии в Украину.

Основное оружие, используемое в этих атаках — это сложный троян удаленного доступа (RAT) под названием ScoringMathTea, написанный на C++ и разработанный для скрытности и уклонения от обнаружения.

ScoringMathTea работает как модульная DLL-библиотека, используя передовые техники для избежания обнаружения. При загрузке он инициализирует структуру конфигурации, содержащую зашифрованные адреса серверов управления и контроля (C&C), идентификаторы кампаний и другие операционные параметры.

Вредоносное ПО использует stack strings для скрытия URL-адресов C&C, что затрудняет статический анализ. Оно также применяет пользовательский полиалфавитный шифр подстановки с цепочкой для деобфускации строк во время выполнения, что еще больше усложняет обратную инженерию.

Технические детали и тактики уклонения
Основная функциональность ScoringMathTea вращается вокруг динамического разрешения API через хеширование API. Вредоносное ПО парсит экспорты DLL, хеширует имена API с помощью пользовательского алгоритма и разрешает их во время выполнения, чтобы избежать обнаружения инструментами на основе сигнатур.

Эта техника, в сочетании с PEB walking для поиска kernel32.dll и ручным получением указателей API, позволяет ScoringMathTea обходить перехват API, сохраняя чистую, не перехваченную таблицу API.

Коммуникация с серверами управления
Коммуникация с серверами C&C осуществляется по протоколам HTTP/HTTPS, при этом полезные нагрузки шифруются с использованием TEA/XTEA в режиме CBC, кодируются в Base64 и опционально сжимаются. Вредоносное ПО подделывает легитимную строку User-Agent браузера Microsoft Edge, чтобы смешаться с обычным трафиком.

Оно также фильтрует HTML-заголовки из ответов C&C, возможно, для уклонения от анализа в песочнице и порталов захвата. Агент поддерживает 60-секундный heartbeat-сигнал, отправляя псевдослучайные полезные нагрузки для дальнейшего сокрытия своей активности.

Загрузка и выполнение плагинов
Ключевая особенность ScoringMathTea — это его способность загружать и выполнять плагины в памяти с использованием Reflective DLL Injection.

Вредоносное ПО вручную мапит PE-файл плагина, вычисляет контрольную сумму CRC32 для проверки целостности и применяет правильные защиты памяти перед выполнением экспортированной функции плагина.

Эта техника позволяет операторам развертывать дополнительные вредоносные модули без записи на диск, что делает обнаружение и анализ более сложными.

Механизмы уклонения
ScoringMathTea также реализует несколько механизмов уклонения, включая:

- Скрытие артефактов — удаление следов своей деятельности
- Подавление системных диалогов ошибок — предотвращение обнаружения пользователями
- Вычисление контрольных сумм CRC32 — обнаружение попыток вмешательства
- Динамическое разрешение API — обход перехвата API
- Маскировка под легитимный трафик — использование поддельных User-Agent

Эти тактики соответствуют нескольким техникам MITRE ATT&CK, таким как Reflective Code Loading, Obfuscated Files or Information, Masquerading и Debug Evasion.

Целевая аудитория
Кампания "Gotta Fly" специально нацелена на компании, участвующие в производстве беспилотных летательных аппаратов, которые поставляют технологии в Украину. Это указывает на стратегический интерес северокорейской APT-группы к:

- Военным технологиям
- Оборонной промышленности
- Критически важной инфраструктуре
- Технологиям двойного назначения

Эксперты по кибербезопасности отмечают, что выбор целей отражает геополитические интересы Северной Кореи и ее стремление получить доступ к передовым военным технологиям.

Эволюция Lazarus APT
Обнаружение ScoringMathTea подчеркивает продолжающуюся эволюцию APT-группы Lazarus в разработке скрытного, модульного вредоносного ПО для целевого шпионажа.

Группа Lazarus известна своими:

- Сложными кампаниями — использование передовых техник и инструментов
- Долгосрочными операциями — терпеливое планирование и выполнение атак
- Модульной архитектурой — возможность адаптации под конкретные цели
- Уклонением от обнаружения — постоянное совершенствование техник скрытности

Исторический контекст
Lazarus APT — одна из самых активных и опасных APT-групп, связанная с правительством Северной Кореи. Группа известна своими атаками на:

- Финансовые учреждения
- Криптовалютные биржи
- Оборонные и аэрокосмические компании
- Критически важную инфраструктуру

Рекомендации по защите
Организации, участвующие в чувствительных технологических секторах, должны оставаться бдительными и повышать свои возможности обнаружения для противодействия таким продвинутым угрозам.

Немедленные меры
1. Мониторинг сетевого трафика
- Отслеживание подозрительных HTTP/HTTPS-подключений
- Анализ User-Agent строк на предмет аномалий
- Обнаружение необычных паттернов heartbeat-сигналов

2. Анализ поведения
- Мониторинг динамического разрешения API
- Обнаружение PEB walking техник
- Выявление Reflective DLL Injection

3. Защита памяти
- Мониторинг выполнения кода в памяти
- Обнаружение манипуляций с защитой памяти
- Анализ контрольных сумм и целостности

Долгосрочные стратегии
4. Сегментация сети
- Изоляция критически важных систем
- Ограничение доступа к внешним ресурсам
- Применение принципа наименьших привилегий

5. Многоуровневая защита
- Комбинация сигнатурного и поведенческого анализа
- Использование машинного обучения для обнаружения
- Реализация EDR решений

6. Обучение персонала
- Повышение осведомленности о целевых атаках
- Обучение распознаванию фишинга
- Регулярные учения по реагированию

Технические индикаторы компрометации
Организации должны искать следующие признаки активности ScoringMathTea:

- Сетевые индикаторы
- HTTP/HTTPS-запросы с поддельным User-Agent Microsoft Edge
- Регулярные heartbeat-сигналы каждые 60 секунд
- Подключения к неизвестным доменам
- Base64-кодированные полезные нагрузки

- Поведенческие индикаторы
- Динамическое разрешение API через хеширование
- PEB walking для поиска kernel32.dll
- Reflective DLL Injection в память
- Подавление системных диалогов ошибок

- Артефакты
- Модульные DLL-библиотеки в памяти
- Stack strings в коде
- Полиалфавитные шифры подстановки
- Контрольные суммы CRC32 для проверки целостности

Влияние на безопасность
Обнаружение ScoringMathTea демонстрирует растущую сложность инструментов, используемых государственными APT-группами. Вредоносное ПО использует:

- Передовые техники обфускации — затруднение статического анализа
- Динамическое выполнение — обход сигнатурных детекторов
- Модульную архитектуру — гибкость и адаптивность
- Скрытность — минимизация следов деятельности

Эти характеристики делают ScoringMathTea особенно опасным для организаций, работающих с чувствительными технологиями, и требуют комплексного подхода к обнаружению и защите.

Заключение
Раскрытие кампании "Operation DreamJob" и вредоносного ПО ScoringMathTea подчеркивает продолжающуюся угрозу со стороны северокорейской APT-группы Lazarus для организаций, работающих в оборонной и технологической сферах.

Ключевые моменты:
- Lazarus APT нацелена на производителей БПЛА для Украины
- ScoringMathTea — сложный модульный RAT с передовыми техниками уклонения
- Использование Reflective DLL Injection для выполнения плагинов в памяти
- Соответствие техникам MITRE ATT&CK — стандартизированные методы атаки
- Требуется многоуровневая защита для противодействия таким угрозам

Организации, участвующие в производстве критически важных технологий, должны принять проактивные меры по защите своих систем и данных. Это включает внедрение продвинутых решений обнаружения, сегментацию сетей, мониторинг поведения и обучение персонала.

Ситуация продолжает развиваться, и эксперты по кибербезопасности рекомендуют организациям регулярно обновлять свои системы защиты и следить за новыми техниками, используемыми APT-группами.

---

Дата обнаружения: Октябрь 2026 года
APT-группа: Lazarus (Северная Корея)
Название кампании: Operation DreamJob / Gotta Fly
Вредоносное ПО: ScoringMathTea RAT

---

**⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.