卡巴斯基近日发布APT报告显示,朝鲜黑客组织LazarusGroup已入侵新冠病毒(COVID-19)疫苗研发机构。根据该报告,Lazarus于9月渗透了一家制药公司的网络,并于10月渗透了政府卫生部的网络(下图)。在获得对目标网络的访问权限后,Lazarus黑客部署了Bookcode(专门针对Lazarus)和具有后门功能的wAgent恶意软件。“这两种攻击都利用了不同的恶意软件集群,几乎没有重叠,”卡巴斯基安全专家SeongsuPark在APT报告中说。“不过,我们可以确认,他们都与拉撒路团伙有联系,而且我们还发现,在后期利用过程中存在重叠。”(下图)攻击卫生部的有效载荷是wAgent,这是一种恶意软件,旨在从命令和控制服务器部署额外的有效载荷,包括持久性后门,并将其加载到受感染系统的内存中。在10月27日的攻击中,wAgent恶意软件“与Lazarus组织之前用来攻击加密货币业务的恶意软件具有相同的感染方案。”在9月25日针对一家制药公司的攻击中,Lazarus组织使用Bookcode恶意软件收集系统信息、“包含密码哈希的注册表sam转储”和ActiveDirectory信息。卡巴斯基没有指明这些攻击针对的制药公司,但证实这些公司都参与了COVID-19疫苗的开发,并且也“被授权生产和分发COVID-19疫苗”。虽然许多组织目前正在开发多种COVID-19疫苗,但只有以下组织开发了在美国、英国、俄罗斯、中国和其他国家/地区获得授权/批准状态的疫苗(因此Lazarus必须针对它们):Pfizer-BioNTechSinovac武汉生物制品研究所Gamaleya研究所北京生物制品研究所俄罗斯联邦预算研究所国家病毒与生物技术研究中心表示:“这两起事件表明,拉撒路集团对相关情报非常感兴趣COVID-19“虽然Lazarus以其在金融领域的活动而闻名,但这次攻击表明该组织也可以进行战略研究。“我们认为,目前参与疫苗研究或危机管理等活动的所有实体都应该对网络攻击保持高度警惕。”参考资料:Lazarus觊觎COVID-19相关情报:https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/【本文为专栏作者“安牛”原创文章,转载请索取经安安牛(微信公众号id:gooann-sectv)授权转载】点此查看该作者更多好文
