卡巴斯基最近發(fā)布的APT報(bào)告顯示，朝鮮黑客組織Lazarus Group已經(jīng)入侵了參與新冠病毒(COVID-19)疫苗研發(fā)機(jī)構(gòu)。

[[360475]]

根據(jù)報(bào)告，Lazarus于9月和10月分別滲透了一家制藥公司和一個(gè)政府衛(wèi)生部的網(wǎng)絡(luò)(下圖)。

在進(jìn)入目標(biāo)網(wǎng)絡(luò)后，Lazarus黑客部署了Bookcode(Lazarus專用)和具有后門功能的wAgent惡意軟件。

卡巴斯基安全專家Seongsu Park在APT報(bào)告中說：“這兩種攻擊都利用了重疊程度不大的不同惡意軟件集群。”

“但是，我們可以確認(rèn)他們都與Lazarus團(tuán)伙有聯(lián)系，并且我們還發(fā)現(xiàn)了在利用后的流程中存在重疊。”(下圖)

攻擊衛(wèi)生部的有效載荷是wAgent，它是一種惡意軟件，旨在從命令和控制服務(wù)器部署其他有效載荷，包括持久的后門，并將其加載到受感染系統(tǒng)的內(nèi)存中。

在10月27日發(fā)生的攻擊中，wAgent惡意軟件“具有與Lazarus集團(tuán)先前用于攻擊加密貨幣業(yè)務(wù)的惡意軟件相同的感染方案”。

在9月25日針對(duì)制藥公司的攻擊中，Lazarus組織使用Bookcode惡意軟件收集系統(tǒng)信息，“包含密碼哈希的注冊(cè)表sam轉(zhuǎn)儲(chǔ)”和Active Directory信息。

卡巴斯基沒有透露遭受這些攻擊的制藥公司的身份，但確認(rèn)這些公司都參與了COVID-19疫苗的研發(fā)，并且也“被授權(quán)生產(chǎn)和分發(fā)COVID-19疫苗”。

盡管目前很多機(jī)構(gòu)都在開發(fā)多種COVID-19疫苗，但只有下列組織開發(fā)的疫苗在美國(guó)、英國(guó)、俄羅斯、中國(guó)和其他國(guó)家/地區(qū)達(dá)到授權(quán)/批準(zhǔn)狀態(tài)(因此Lazarus的攻擊目標(biāo)必須在其中)：

• 輝瑞-BioNTech
• Sinovac
• 武漢生物制品研究所
• Gamaleya研究所
• 北京生物制品研究所
• 俄羅斯聯(lián)邦預(yù)算研究機(jī)構(gòu)病毒與生物技術(shù)國(guó)家研究中心

報(bào)告指出：“這兩個(gè)事件表明Lazarus Group對(duì)與COVID-19相關(guān)情報(bào)非常感興趣。”

“盡管Lazarus以其金融領(lǐng)域的活動(dòng)而聞名，但此次攻擊表明該組織也可以進(jìn)行戰(zhàn)略研究。

“我們認(rèn)為，當(dāng)前參與疫苗研究或危機(jī)處理等活動(dòng)的所有實(shí)體都應(yīng)高度警惕網(wǎng)絡(luò)攻擊。”

參考資料：Lazarus covets COVID-19-related intelligence：

https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文