Lazarus Team busca inteligencia relacionada con COVID-19



Los investigadores atribuyen ataques contra una empresa farmacéutica y un ministerio del gobierno relacionados con la respuesta al COVID-19.

Los investigadores de seguridad han vinculado a Lazarus Team con dos ataques dirigidos a instituciones relacionadas con el desarrollo y la respuesta de la vacuna COVID-19. Sus datos indican que el grupo respaldado por Corea del Norte, mejor conocido por piratear para obtener ganancias financieras e incluso sabotaje, está muy interesado en la inteligencia de COVID-19.

El equipo de investigación de Kaspersky informa que Lazarus Team apuntó a una compañía farmacéutica a fines de septiembre Durante su investigación, descubrió que el grupo también había apuntado a un Ministerio de Salud relacionado con la respuesta del COVID-19. Si bien cada ataque utilizó diferentes tácticas, técnicas y procedimientos, los investigadores encontraron conexiones entre ellos y atribuyeron la actividad al Grupo Lazarus «con mucha confianza».

El 27 de octubre de 2020, dos servidores Windows se vieron comprometidos en un Ministerio de Salud. Los investigadores no pudieron identificar el vector de ataque, pero confirmaron que se instaló en los servidores un sofisticado grupo de malware, denominado «wAgent». El componente principal del malware solo funciona en la memoria, dicen, y obtiene cargas útiles adicionales de un servidor remoto.

En este ataque, el malware se ejecutó directamente en la máquina de la víctima. Usando la puerta trasera de wAgent, el atacante instaló una carga útil adicional de wAgent con un mecanismo de persistencia. Este instalador de wAgent funciona de manera similar al cargador de malware de wAgent, y tiene la tarea de cargar una carga útil integrada después de descifrarla con una clave de 16 bytes desde la línea de comandos.

En la carga útil descifrada, el malware crea una ruta de archivo para llevar a cabo la infección. La carga útil closing obtiene cargas útiles adicionales del servidor de comando y manage (C2), posiblemente una puerta trasera con todas las funciones, y la carga en la memoria, los investigadores explicar en un informe de los hallazgos.

El malware wAgent utilizado aquí tiene el mismo esquema de infección que los ataques a empresas de criptomonedas que involucran a Lazarus Team, señalan. Los casos emplearon un esquema de nombres de malware similar, utilizaron un proveedor de soporte de seguridad como mecanismo de persistencia y tenían mensajes de depuración «casi idénticos».

Se usó una carga útil diferente, denominada malware Bookcode, en el incidente del 25 de septiembre contra una empresa farmacéutica. Lazarus Team ya había implementado Bookcode en un ataque a una empresa de program de Corea del Sur, posiblemente dirigido a su código fuente o cadena de suministro. También se ha visto distribuyendo Bookcode a través de spear-phishing o compromiso del sitio internet en ataques anteriores.

Los investigadores han determinado previamente que Bookcode es utilizado exclusivamente por Lazarus Team.

La organización víctima en este caso está autorizada para producir y distribuir vacunas COVID-19 y tiene una en desarrollo, dicen los investigadores. Los investigadores pudieron identificar una muestra de cargador, un archivo encargado de cargar una carga útil cifrada en la carpeta del sistema. Después de descifrar esto, el cargador encuentra el proceso de host de servicio con ciertos parámetros e inyecta la carga útil en él.

Una vez que se inicia el malware, envía datos sobre la víctima a la infraestructura de los atacantes. Después de comunicarse con el servidor C2, proporciona funcionalidades de puerta trasera. La campaña que implementa el clúster Bookcode tiene como objetivo extraer información del host infectado, incluidos los hash de contraseña, explican los investigadores. También united states of america comandos de Home windows para verificar la conectividad de la purple y united states of america la herramienta WakeMeOnLan para escanear hosts en la misma purple.

Al trabajar con la empresa farmacéutica para remediar el ataque, el equipo de Kaspersky encontró un archivo de configuración adicional que contiene cuatro servidores C2, todos los cuales son servidores comprometidos ubicados en Corea del Sur.

«Estos dos incidentes revelan el interés de Lazarus Group en la inteligencia relacionada con COVID-19», dice el experto en seguridad de Kaspersky Seongsu Park. «Si bien el grupo es conocido principalmente por sus actividades financieras, es un buen recordatorio de que también puede buscar investigación estratégica».

Kaspersky cree que todas las entidades involucradas en la investigación de vacunas, respuesta a disaster y actividades relacionadas deben estar en alerta máxima por ciberataques, agrega Park.

La actualización de hoy llega en medio de ataques en curso dirigidos a la cadena de suministro de la vacuna COVID-19. A principios de este mes, los investigadores de X-Drive de IBM Safety informaron sobre una campaña de phishing dirigido a personas de varias organizaciones involucradas en la cadena de suministro. La actividad, que parecía diseñada para obtener credenciales para futuros ataques, amenaza a los componentes y participantes de la «cadena de frío» que garantiza que las vacunas se almacenen y transporten de forma segura.

Kelly Sheridan es la editora de particular de Darkish Reading through, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique