Il famigerato gruppo di minacce persistenti avanzate (APT) Lazarus è responsabile di due recenti attacchi informatici che hanno preso di mira due entità separate legate alla ricerca COVID-19.
In un attacco, un ente del Ministero della Salute è stato colpito da malware. L’altro incidente ha riguardato l’uso di un diverso tipo di malware contro un’azienda farmaceutica che sta sviluppando un vaccino per il nuovo coronavirus. L’azienda è autorizzata a produrre e distribuire il vaccino.
Gli attacchi, avvenuti entrambi nell’autunno del 2020, sono stati identificati dai ricercatori di Kaspersky. Nonostante l’uso di diverse tattiche, tecniche e procedure (TTP) in ogni aggressione, i ricercatori hanno ora valutato “con grande sicurezza” che entrambe le attività dannose possono essere attribuite al gruppo Lazarus.
“Entrambi gli attacchi hanno sfruttato diversi cluster di malware che non si sovrappongono molto“, hanno scritto i ricercatori. “Tuttavia, possiamo confermare che entrambi sono collegati al gruppo Lazarus, e abbiamo anche riscontrato delle sovrapposizioni nel processo post-sfruttamento“.
I ricercatori hanno scoperto che il 27 ottobre, due server Windows appartenenti all’entità del Ministero della Salute sono stati compromessi da un malware sofisticato noto a Kaspersky come “wAgent”. Un’analisi più attenta ha rilevato che il malware utilizzato contro l’ufficio della sanità pubblica aveva lo stesso schema di infezione dei precedenti attacchi di Lazarus alle attività di criptovaluta.
L’attacco alla società farmaceutica è avvenuto il 25 settembre. I ricercatori hanno scoperto che l’attore della minaccia ha distribuito il malware Bookcode in un attacco alla catena di approvvigionamento attraverso una società di software sudcoreana. Questo particolare tipo di malware è stato precedentemente segnalato dal fornitore di sicurezza ESET come connesso a Lazarus.
Bookcode e malware wAgent hanno funzionalità simili, con entrambi che vantano una backdoor completa. Dopo aver distribuito il carico utile finale, l’operatore del malware può assumere il controllo della macchina della vittima.
“Questi due incidenti rivelano l’interesse del gruppo Lazarus per l’intelligence relativa a COVID-19″, ha affermato Seongsu Park, esperto di sicurezza di Kaspersky. “Anche se il gruppo è noto soprattutto per le sue attività finanziarie, è un buon promemoria per ricordare che può seguire anche la ricerca strategica“.
Park ha continuato a lanciare un grave avvertimento a tutte le organizzazioni che si sforzano di porre fine alla lunga pandemia sanitaria globale.
“Riteniamo che tutte le entità attualmente coinvolte in attività come la ricerca sui vaccini o la gestione delle crisi dovrebbero essere in massima allerta per gli attacchi informatici“, ha affermato Park.
