Členové notoricky známé skupiny Lazarus, pokračují v pronikání do probíhajícího výzkumu vakcín COVID-19, aby ukradli citlivé informace a urychlili snahy o vývoj vakcín v jejich zemích.

Společnost zabývající se kybernetickou bezpečností Kaspersky podrobně popsala dva incidenty ve farmaceutické společnosti a na ministerstvu vlády v září a říjnu, které využívaly různé nástroje a techniky, ale vykazovaly podobnosti, což vedlo vědce k propojení těchto dvou útoků se severokorejskými vládními hackery.

„Tyto dva incidenty odhalují zájem skupiny Lazarus o výzkumné informace související s COVID-19,“ uvedl Seongsu Park, vedoucí výzkumník bezpečnosti společnosti Kaspersky. „Ačkoli je skupina známá především svými finančními aktivitami, je dobrou připomínkou, že může jít i po strategickém výzkumu.“

Společnost Kaspersky nepojmenovala cílové subjekty, ale uvedla, že farmaceutická firma byla napadena 25. září 2020, k útoku na vládní ministerstvo zdravotnictví došlo o měsíc později, 27. října.

Incident ve farmaceutické společnosti, která se podílí na vývoji a distribuci vakcíny COVID-19, skupina Lazarus nasadila malware „ BookCodes “, který byl nedávno použit při útoku dodavatelského řetězce jihokorejské softwarové společnosti WIZVERA k instalaci nástroje vzdálené správy (RAT) v cílových systémech.

Počáteční přístupový vektor použitý při útoku zůstává neznámý, ale malware identifikovaný výzkumníky údajně načte šifrovaný BookCodes RAT, který je vybaven schopnostmi shromažďovat informace o systému, přijímat vzdálené příkazy a přenášet výsledky na servery a řízení (C2) umístěné v Jižní Koreji.

V samostatné kampani zaměřené na ministerstvo zdravotnictví hackeři napadli dva servery Windows, aby nainstalovali malware známý jako „wAgent“, a poté jej použili k načtení dalších škodlivých dat z útočníkem ovládaného serveru.

Stejně jako v předchozím případě vědci uvedli, že se jim nepodařilo najít spouštěcí modul použitý při útoku, ale domnívají se, že má „triviální roli“ při spouštění malwaru se specifickými parametry, po kterých wAgent načte Windows DLL obsahující funkce backdooru přímo do paměti.

„Pomocí těchto zadních vrátek v paměti provedl operátor malwaru řadu příkazů, aby shromáždil informace o oběti,“ řekl Park.

Společnost Kaspersky uvedla, že malware wAgent používaný v říjnu sdílel stejné infekční schéma jako malware, který skupina Lazarus dříve používala při útocích na kryptoměnové podniky, s odvoláním na překrývání ve schématu pojmenování malwaru a ladění zpráv a použití poskytovatele podpory zabezpečení jako mechanismu vytrvalosti. Severokorejští hackeři se údajně zaměřili na farmaceutické firmy v Indii, Francii, Kanadě a Velké Británii AstraZeneca.