Исследователи "Лаборатории Касперского" подготовили отчет (https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/) об активности северокорейской хак-группы Lazarus, которая недавно атаковала две организации, участвующие в исследовании COVID-19.
По информации компании, новые атаки Lazarus произошли в сентябре и октябре 2020 года были нацелены на Министерство здравоохранения, а также неназванную фармацевтическую компанию, уполномоченную производить и распространять вакцины от COVID-19, что свидетельствует о явном интересе хакеров к исследованиям коронавируса.
Атака на Министерство здравоохранения была зафиксирована 27 октября 2020 года: были взломаны два Windows-сервера. Экспертам не удалось определить изначальный вектор заражения, но в результате инцидента злоумышленники смогли установить сложный кластер вредоносных программ на взломанных серверах. "Лаборатория Касперского" отлеживает эту малварь как wAgent, и ранее она использовалась для атак на криптовалютные компании.
Оба вредоноса были разработаны для работы в качестве полнофункциональных бэкдоров, предоставляя своим операторам полный контроль над зараженными машинами. В каждой атаке использовались разные тактики, техники и процедуры, но исследователи уверены, что за обоими инцидентами стоит именно Lazarus.
Используя wAgent, злоумышленники выполняли различные шелл-команды для сбора информации с машин жертв. Также на зараженных серверах была развернута дополнительная полезная нагрузка, включающая механизм устойчивого присутствия в системе.
