Kaspersky verzeichnet Cyberattacken auf Pharmaunternehmen und Abteilung eines Gesundheitsministeriums. Die Angriffe auf die COVID-19-Impfstoff-Forschung deuten auf die Lazarus-Gruppe hin.
Kaspersky-Forscher haben im Herbst zwei zielgerichtete Angriffe auf Einrichtungen identifiziert, die mit der COVID-19-Forschung in Verbindung stehen. Ein Gesundheitsministerium sowie ein Pharmaunternehmen waren davon betroffen. Die Experten von Kaspersky gehen davon aus, dass hinter diesen Angriffen die berüchtigte Lazarus-Gruppe steckt.
Angriffsschema weist auf Lazarus hin
Der erste Angriff erfolgte auf eine Einrichtung eines Gesundheitsministeriums, wobei zwei Windows-Server am 27. Oktober 2020 mit ausgefeilter Malware kompromittiert wurden. Die Analyse der bereits bekannten Malware ‚wAgent‘ hat ergeben, dass diese ein identisches Infektionsschema aufweist, das durch die Lazarus-Gruppe bereits zuvor bei Angriffen auf Unternehmen im Kryptowährungssektor zum Einsatz kam.
Der zweite Vorfall betraf ein Pharmaunternehmen, das laut der Kaspersky-Telemetrie am 25. September 2020 angegriffen wurde. Das Unternehmen entwickelt einen COVID-19-Impfstoff und hat bereits die Berechtigung erhalten, diesen zu produzieren und zu vertreiben. Dieses Mal setzte der Angreifer die Malware ,Bookcode‘ ein, die schon einmal mit Lazarus, im Rahmen eines Angriffs über die Lieferkette eines südkoreanischen Softwareunternehmens, in Verbindung stand. Kaspersky-Forscher haben darüber hinaus bereits in der Vergangenheit Spear-Phishing-Aktivitäten oder strategische Kompromittierungen von Webseiten durch die Lazarus-Gruppe mit dem Ziel, die Bookcode-Malware zu verbreiten, identifiziert.
wAgent- und Bookcode-Malware
Sowohl die wAgent- als auch die Bookcode-Malware, die bei den Angriffen eingesetzt wurden, verfügen über ähnliche Funktionalitäten, etwa eine voll funktionsfähige Backdoor. Nach der Bereitstellung der endgültigen Payload kann der Malware-Akteur den Computer des Opfers auf nahezu beliebige Weise steuern. Aufgrund der festgestellten Überschneidungen schreiben die Kaspersky-Forscher die Angriffe mit hoher Wahrscheinlichkeit der Lazarus-Gruppe zu. Die Untersuchungen dauern noch an.
„Diese beiden Vorfälle zeigen das Interesse von Lazarus an Informationen im Zusammenhang mit COVID-19“, so Seongsu Park, Sicherheitsexperte bei Kaspersky. „Während die Gruppe bisher vor allem für ihre Aktivitäten im Finanzbereich bekannt ist, zeigt dies, dass auch strategische Forschung für sie Relevanz hat. Wir sind der Auffassung, dass alle Einrichtungen, die derzeit an Impfstoffforschung oder COVID-19-Krisenmanagement beteiligt sind, in höchster Alarmbereitschaft bezüglich Cyberangriffen sein sollten.“ Kaspersky-Produkte erkennen die wAgent-Malware als HEUR:Trojan.Win32.Manuscrypt.gen und Trojan.Win64.Manuscrypt.bx.
Mehr dazu bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/