Gli Hacker Nordcoreani stanno tornando!
Buongiorno cari lettori oggi parleremo degli hacker nordcorean che stanno cercando di rubare delle informazioni riguardo il vaccino al covid.
Gli attori della minaccia, come il famigerato gruppo di Lazzaro, continuano a sfruttare la ricerca sul vaccino COVID-19 in corso per rubare informazioni sensibili al fine di accelerare gli sforzi di sviluppo del vaccino nei loro paesi.
La società di sicurezza informatica Kaspersky ha dettagliato due incidenti presso una società farmaceutica e un ministero del governo in settembre e ottobre, sfruttando diversi strumenti e tecniche ma mostrando somiglianze nel processo di post-sfruttamento, portando i ricercatori a collegare i due attacchi agli hacker nordcoreani collegati al governo.
"Questi due incidenti rivelano l'interesse del gruppo Lazarus per le informazioni relative a COVID-19", ha detto Seongsu Park, un ricercatore senior della sicurezza di Kaspersky. "Anche se il gruppo è conosciuto soprattutto per le sue attività finanziarie, è un buon promemoria del fatto che può dedicarsi anche a ricerche strategiche".
Kaspersky non ha fatto il nome delle entità prese di mira, ma ha detto che l'azienda farmaceutica è stata violata il 25 settembre 2020, con l'attacco contro il ministero della salute del governo che si è verificato un mese dopo, il 27 ottobre.
In particolare, l'incidente presso l'azienda farmaceutica - che è coinvolta nello sviluppo e nella distribuzione di un vaccino COVID-19 - ha visto il gruppo Lazarus distribuire il malware "BookCodes", recentemente utilizzato in un attacco alla catena di fornitura di una società di software sudcoreana WIZVERA per installare strumenti di amministrazione remota (RAT) sui sistemi bersaglio.
vaccino covid-19
Il vettore di accesso iniziale utilizzato nell'attacco rimane ancora sconosciuto, ma si dice che un malware loader identificato dai ricercatori carichi il BookCode RAT criptato che viene fornito con la capacità di raccogliere informazioni di sistema, ricevere comandi remoti e trasmettere i risultati dell'esecuzione a server di comando e controllo (C2) situati in Corea del Sud.
vaccino covid-19
In una campagna separata rivolta al ministero della sanità, gli hacker hanno compromesso due server Windows per installare un malware noto come "wAgent", e lo hanno poi utilizzato per recuperare altri payloads dannosi da un server controllato dagli aggressori.
Come nel caso precedente, i ricercatori hanno dichiarato di non essere riusciti a localizzare il modulo di avvio utilizzato nell'attacco, ma sospettano che abbia un "ruolo banale" di esecuzione del malware con parametri specifici, in seguito al quale wAgent carica direttamente in memoria una DLL Windows contenente funzionalità backdoor.
"Utilizzando questa backdoor in-memory, l'operatore del malware ha eseguito numerosi comandi di shell per raccogliere informazioni sulle vittime", ha detto Park.
Indipendentemente dai due cluster di malware impiegati negli attacchi, Kaspersky ha detto che il malware wAgent utilizzato in ottobre condivideva lo stesso schema di infezione del malware che il gruppo Lazarus utilizzava in precedenza negli attacchi alle aziende di crittografia, citando sovrapposizioni nello schema di denominazione del malware e nei messaggi di debug, e l'uso del Security Support Provider come meccanismo di persistenza.
Lo sviluppo è l'ultimo di una lunga lista di attacchi che capitalizza la pandemia del coronavirus - una tendenza osservata in varie campagne di phishing e malware nel corso dell'ultimo anno. Gli hacker nordcoreani avrebbero preso di mira le aziende farmaceutiche in India, Francia, Canada e la britannica AstraZeneca.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
