Группировка Lazarus Group ищет ценную информацию о COVID-19

[Artifact]

Эксперты рассказали об атаках на Министерство здравоохранения США и разработчика вакцины от COVID-19.

Исследователи безопасности из «Лаборатории Касперского» рассказали подробности о двух кибератаках, нацеленных на разработчиков вакцины от коронавирусной инфекции (COVID-19). Эксперты связали эти атаки с северокорейской группировкой Lazarus Group и полагают, что преступники сильно заинтересованы в разведданных о COVID-19.
В конце сентября хакеры атаковали фармацевтическую компанию. В ходе расследования выяснилось, что злоумышленники также были нацелены на Министерство здравоохранения США. Хотя в каждой атаке использовались разные тактики, методы и процедуры, исследователи обнаружили связь между ними и группировкой Lazarus Group.
27 октября 2020 года два Windows-сервера были взломаны в Министерстве здравоохранения. Исследователи не смогли определить вектор атаки, но подтвердили, что на серверах был установлен сложный кластер вредоносных программ, получивший название wAgent. Основной компонент вредоносной программы работает только в памяти и получает дополнительные данные с удаленного сервера. В ходе атаки вредоносная программа была запущена непосредственно на системе жертвы. С помощью бэкдора wAgent злоумышленник установил дополнительную полезную нагрузку для обеспечения персистентности.
В расшифрованной полезной нагрузке вредоносная программа создает путь к файлу для заражения. Окончательная полезная нагрузка извлекает дополнительные полезные данные с C&C-сервера и загружает их в память.
Другая полезная нагрузка, получившая название Bookcode, была использована в инциденте 25 сентября, нацеленном на фармацевтическую компанию. По словам исследователей, организация была уполномочена разрабатывать, производить и распространять вакцины от COVID-19. Исследователи смогли идентифицировать образец загрузчика — файл, которому поручено загрузить зашифрованную полезную нагрузку в системную папку. После его расшифровки загрузчик находит процесс узла службы с определенными параметрами и вводит в него полезную нагрузку.
После запуска вредоносная программа отправляет данные о жертве в инфраструктуру злоумышленников. После взаимодействия с C&C-сервером вредонос обеспечивает функции бэкдора. Кампания по развертыванию Bookcode предназначена для извлечения информации с зараженного хоста, включая хэши паролей. Вредонос также применяет Windows-команды для проверки сетевого подключения и использует инструмент WakeMeOnLan для сканирования хостов в той же сети.
«Эти два инцидента свидетельствуют об интересе Lazarus Group к разведывательной информации, связанной с COVID-19. Хотя группа в основном известна своей финансовой деятельностью, это хорошее напоминание о том, что она может заниматься и стратегическими исследованиями», — сообщили специалисты.