Эксперты по информационной безопасности обнаружили две сложные атаки группы Lazarus на организации, занимающиеся исследованиями COVID-19. Жертвами инцидентов, в которых применялись продвинутые вредоносные инструменты, стали министерство здравоохранения и фармацевтическая компания в одной из стран Азии, занимающаяся производством и поставками вакцины.
Два Windows-сервера государственного учреждения были скомпрометированы 27 октября с помощью сложного вредоносного ПО, известного «Лаборатории Касперского» как wAgent. Заражение производилось по той же схеме, что ранее применялась группой Lazarus для проникновения в сети криптовалютных компаний.
Атака же на производителя вакцины, по данным «Лаборатории Касперского», стартовала 25 сентября. Она проводилась с применением зловреда Bookcode, до этого замеченного в атаке на цепочку поставок через компанию, производящую программное обеспечение. Ранее группа Lazarus также использовала методы фишинга и целевой компрометации сайтов.
Оба зловреда представляют собой полнофункциональные бэкдоры, которые позволяют получать контроль над заражённым устройством.
«Эти два инцидента демонстрируют, что Lazarus занимается сбором данных, имеющих отношение к COVID-19, хотя в первую очередь группа известна своими финансовыми интересами. Организаторы сложных атак мыслят стратегически и могут не ограничиваться одним направлением деятельности. Всем компаниям, имеющим отношение к разработке и внедрению вакцины, следует быть максимально готовыми к отражению кибератак», — комментирует Сёнгсу Парк, эксперт по кибербезопасности «Лаборатории Касперского» в азиатском регионе.
Чтобы защитить корпоративную инфраструктуру от сложных целевых атак компаниям следует:
- предоставить сотрудникам SOC-центра доступ к самым свежим данным об угрозах;
- регулярно проводить тренинги, которые позволяют повышать цифровую грамотность сотрудников, поскольку целевые атаки часто начинаются с фишинга и других техник социальной инженерии;
- проводить собственные внутренние расследования инцидентов, эффективно определять источники и организаторов;
- для защиты конечных устройств, своевременного расследования и реагирования на инциденты внедрить EDR-решение;
- в дополнение к основным защитным продуктам внедрить решение корпоративного уровня, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии.