Les acteurs de la menace tels que le célèbre groupe Lazarus continuent de tirer parti de la recherche en cours sur le vaccin COVID-19 pour voler des informations sensibles afin d’accélérer les efforts de développement de vaccins de leurs pays.
Entreprise de cybersécurité Kaspersky détaillé deux incidents dans une société pharmaceutique et un ministère gouvernemental en septembre et octobre, utilisant différents outils et techniques mais présentant des similitudes dans le processus de post-exploitation, conduisant les chercheurs à relier les deux attaques aux pirates informatiques liés au gouvernement nord-coréen.
« Ces deux incidents révèlent l’intérêt du groupe Lazarus pour le renseignement lié au COVID-19 », a déclaré Seongsu Park, chercheur principal en sécurité chez Kaspersky. «Si le groupe est surtout connu pour ses activités financières, c’est un bon rappel qu’il peut également poursuivre des recherches stratégiques».
Kaspersky n’a pas nommé les entités ciblées, mais a déclaré que la société pharmaceutique avait été violée le 25 septembre 2020, l’attaque contre le ministère gouvernemental de la Santé ayant eu lieu un mois plus tard, le 27 octobre.
Notamment, l’incident de la société pharmaceutique – impliquée dans le développement et la distribution d’un vaccin COVID-19 – a vu le groupe Lazarus déployer le « BookCodes« malware, récemment utilisé dans une attaque de chaîne d’approvisionnement d’une société de logiciels sud-coréenne WIZVERA pour installer des outils d’administration à distance (RAT) sur les systèmes cibles.
Le vecteur d’accès initial utilisé dans l’attaque reste encore inconnu, mais un chargeur de logiciels malveillants identifié par les chercheurs chargerait le BookCodes RAT crypté qui est livré avec des capacités pour collecter des informations système, recevoir des commandes à distance et transmettre les résultats de l’exécution à serveurs de commande et de contrôle (C2) situés en Corée du Sud.
Dans une campagne distincte visant le ministère de la Santé, les pirates ont compromis deux serveurs Windows pour installer un logiciel malveillant appelé «wAgent», puis l’ont utilisé pour récupérer d’autres charges utiles malveillantes d’un serveur contrôlé par un attaquant.
Comme dans le cas précédent, les chercheurs ont déclaré qu’ils étaient incapables de localiser le module de démarrage utilisé dans l’attaque mais le soupçonnaient d’avoir un « rôle trivial » d’exécuter le malware avec des paramètres spécifiques, à la suite de quoi wAgent charge directement une DLL Windows contenant des fonctionnalités de porte dérobée. en mémoire.
«En utilisant cette porte dérobée en mémoire, l’opérateur du logiciel malveillant a exécuté de nombreuses commandes shell pour recueillir des informations sur les victimes», a déclaré Park.
Indépendamment des deux clusters de malwares utilisés dans les attaques, Kaspersky a déclaré que le malware wAgent utilisé en octobre partageait le même schéma d’infection que le malware que le groupe Lazarus avait précédemment utilisé dans les attaques contre les entreprises de crypto-monnaie, citant des chevauchements dans le schéma de dénomination des logiciels malveillants et les messages de débogage, et l’utilisation de Security Support Provider comme mécanisme de persistance.
Le développement est le dernier d’une longue liste d’attaques capitalisant sur la pandémie de coronavirus – une tendance observée dans divers leurres de phishing et campagnes de logiciels malveillants tout au long de l’année dernière. Des pirates informatiques nord-coréens auraient ciblé des entreprises pharmaceutiques en Inde, en France, au Canada et dans la société britannique AstraZeneca.
