L’acteur de menace lié à la Corée du Nord, connu sous le nom de Lazarus, a récemment été observé en train de lancer des cyberattaques contre deux entités impliquées dans la recherche sur le COVID-19.

Actif depuis au moins 2009 et censé être soutenu par le gouvernement nord-coréen, Lazarus aurait orchestré des attaques très médiatisées, dont l’épidémie de WannaCry. L’année dernière, le groupe a été observé ciblant principalement les échanges de crypto-monnaie et élargissant son ensemble d’outils.

De nouvelles attaques de Lazarus en septembre et octobre 2020, révèle Kaspersky, visaient un ministère de la Santé et une société pharmaceutique autorisée à produire et à distribuer des vaccins COVID-19, révélant l’intérêt de Lazarus pour la recherche sur le COVID-19.

En septembre, les pirates ont ciblé une société pharmaceutique avec le malware BookCode, qui a été attribué au groupe il y a quelque temps. Fin octobre, Lazarus a ciblé un organisme du ministère de la Santé avec le malware wAgent, qui était auparavant utilisé pour cibler les entreprises de crypto-monnaie.

Les deux logiciels malveillants ont été conçus pour fonctionner comme des portes dérobées complètes, offrant aux opérateurs un contrôle total sur les machines infectées. Différentes tactiques, techniques et procédures (TTP) ont été utilisées pour chaque attaque, mais Kaspersky est convaincu que Lazarus était à l’origine des deux incidents.

À l’aide de wAgent, les attaquants ont exécuté diverses commandes shell pour recueillir des informations sur la machine victime. Une charge utile supplémentaire comprenant un mécanisme de persistance a également été déployée sur deux serveurs Windows, et la porte dérobée complète a suivi.

La porte dérobée BookCode a été utilisée pour collecter des informations système et réseau à partir de l’environnement victime, ainsi qu’un vidage SAM du registre contenant des hachages de mot de passe. L’adversaire a également tenté de collecter des informations sur d’autres machines du réseau, probablement pour un mouvement latéral.

«Nous évaluons avec une grande confiance que l’activité […] est attribuable au groupe Lazarus. Dans nos recherches précédentes, …