社会工程学攻击手段

该行动采用伪造职位描述的社交工程学手段：攻击者向目标企业发送带有木马化PDF阅读器的虚假招聘文件，触发多阶段感染流程。研究人员在受感染系统中发现名为DroneEXEHijackingLoader.dll的恶意投放器，其内部DLL名称直接证实该行动以无人机技术窃取为核心目标。

Welivesecurity安全分析师确认主要载荷为ScoringMathTea远程访问木马（RAT）。该恶意软件自2022年底以来已成为Lazarus组织的旗舰工具，具备约40项指令控制功能，支持文件操作、进程控制和数据窃取等完整攻击链。为维持通信隐蔽性，该木马通过受控的WordPress目录服务器与C&C基础设施建立连接，并采用IDEA算法加密与Base64编码的双重加密传输机制。

网络流量分析显示攻击行动关联三个已遭入侵的域名：coralsunmarine[.]com、mnmathleague[.]org和spaincaramoon[.]com。安全研究人员公布的攻击链示意图表明，Operation DreamJob通过连续投放BinMergeLoader与ScoringMathTea实现最终渗透。

Part02

高级感染机制与规避技术

Lazarus组织展现出高超的技术能力，将恶意加载程序植入GitHub开源项目：

• 被篡改的合法软件包括TightVNC远程桌面客户端、MuPDF阅读器及WinMerge与Notepad++的插件模块

• 这种”双面软件”策略使恶意代码既保留合法应用的外观，又能执行恶意载荷

感染链采用DLL侧加载与代理技术：合法可执行文件wksprt.exe和wkspbroker.exe会加载恶意动态库webservices.dll与radcui.dll。这些被篡改的DLL包含双重导出函数集：既保留原有应用功能的代理接口，又承载加载后续阶段的恶意代码。

恶意软件在感染生命周期全程采用高强度加密：早期投放器从文件系统或注册表中获取加密载荷，使用AES-128或ChaCha20算法解密后，通过MemoryModule库实施反射式DLL注入。这种技术实现完全内存驻留执行，无需将解密后的组件写入磁盘，极大增强隐蔽性。

参考来源：

North Korean Hackers Attacking Unmanned Aerial Vehicle Industry to Steal Confidential Data

https://cybersecuritynews.com/north-korean-hackers-attacking-unmanned-aerial-vehicle-industry/

文章来源：FreeBuf