Alors que la pandémie et les mesures pour ralentir la diffusion du virus se poursuivent dans le monde entier, de nombreux établissements de recherche tentent d’accélérer le développement de vaccins par tous les moyens. Si la majorité des travaux de recherche est menée dans le but d’endiguer la pandémie, cela n’empêche pas des acteurs mal intentionnés d’essayer de tirer parti de cette période difficile pour leur propre bénéfice. Alors qu’ils continuent à suivre de près les campagnes entreprises par le groupe Lazarus et visant diverses industries, les experts de Kaspersky ont découvert que l’acteur s’en est pris à des institutions médico-pharmaceutiques luttant contre la COVID-19 et ce, il y a seulement quelques mois. A date, deux incidents ont été identifiés.
Le premier était une attaque contre une entité au sein d’un Ministère de la Santé. Deux serveurs Windows de l’organisme ont été compromis par des logiciels malveillants sophistiqués le 27 octobre 2020. Le logiciel malveillant utilisé est connu de Kaspersky, sous le nom de « wAgent ». Une analyse plus approfondie a montré que ce logiciel malveillant wAgent utilisé contre ledit Ministère a le même schéma d’infection que le logiciel malveillant utilisé auparavant par le groupe Lazarus dans des attaques contre des entreprises de communication cryptographique.

Le deuxième incident visait une société pharmaceutique. Selon la télémétrie de Kaspersky, cette entreprise, qui développe un vaccin contre la COVID-19 et est également autorisée à le produire et à le distribuer, a été victime d’une faille de sécurité le 25 septembre 2020. Cette fois, l’attaquant a déployé le malware Bookcode, précédemment signalé par Kaspersky comme étant connecté à Lazarus, en visant les services logistiques par le biais d’une société de logiciels sud-coréenne. Par le passé, les chercheurs de Kaspersky avaient également vu le groupe Lazarus mettre en place des attaques dites par harponnage ou compromettre stratégiquement des sites web afin de d’introduire le malware Bookcode.

Les logiciels malveillants wAgent et Bookcode, utilisés dans les deux attaques, ont des fonctionnalités similaires, et notamment une porte dérobée. Après avoir déployé le virus, l’opérateur du logiciel malveillant peut contrôler à distance et dans sa globalité la machine de la victime.

Schéma de présentation du fonctionnement des attaques émises par Lazarus
Compte tenu des indices croisés, les chercheurs de Kaspersky confirment avec certitude que les deux incidents sont liés au groupe Lazarus. Des recherches complémentaires sont toujours en cours.

« Ces deux incidents révèlent l’intérêt du groupe Lazarus pour les renseignements et informations confidentielles sur le virus de la COVID-19. Bien que le groupe soit surtout connu pour ses activités ciblant des entités financières, il semble également s’intéresser à la recherche scientifique. Nous pensons que toutes les entités actuellement impliquées dans des activités telles que la recherche de vaccins ou la gestion de crise devraient être en état d’alerte élevé face au risque de cyberattaques », commente Seongsu Park, expert en sécurité chez Kaspersky.

Les produits Kaspersky détectent les logiciels malveillants wAgent comme liés aux fichiers HEUR:Trojan.Win32.Manuscrypt.gen et
Trojan.Win64.Manuscrypt.bx.

Le logiciel malveillant Bookcode est détecté sous la forme Trojan.Win64.Manuscrypt.ce.

Pour se prémunir contre les menaces sophistiquées, Kaspersky recommande de prendre les mesures de sécurité suivantes :
• Donnez à votre équipe SOC l’accès aux dernières informations sur les menaces (TI). Le portail Kaspersky Threat Intelligence Portal donne accès au TI de l’entreprise, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans.
• Formez vos équipes avec des formations sur les règles d’hygiènes cyber de base, dans la mesure où beaucoup d’attaques ciblées débutent par du phishing ou d’autres techniques d’ingénierie sociale
• Les organisations qui souhaitent conduire leurs propres investigations pourront bénéficier de Kaspersky Threat Attribution Engine. Il met en parallèle le nouveau code malveillant avec une base de données sur les malwares, et, en fonction des similarités de code, attribue ce code malveillant à une campagne APT connue.
• Pour des détections au niveau du terminal, l’investigation et la remédiation rapide aux incidents, implémentez des solutions EDR telles que Kaspersky Endpoint Detection and Response

• En plus de l’adoption d’une protection des terminaux essentielle, implémentez une solution de sécurité à l’échelle de votre entreprise qui détectera les menaces avancées perpétrées sur le réseau dès leur commencement, telle que Kaspersky Anti Targeted Attack Platform