Llegamos a ustedes gracias a:



Alertas de Seguridad

Kaspersky revela dos incidentes de APT

Relacionados con la investigación de la vacuna

[28/12/2020] En la primavera del 2020, los investigadores de Kaspersky identificaron dos incidentes de APT que tuvieron como objetivo entidades relacionadas con la investigación de COVID-19 -un organismo del Ministerio de Salud y una empresa farmacéutica. Los expertos de Kaspersky evaluaron con gran confianza que las actividades pueden ser atribuidas al infame grupo Lazarus.

"A medida que la pandemia y las medidas restrictivas en todo el mundo continúan, muchas partes involucradas están tratando de acelerar el desarrollo de la vacuna por cualquier medio disponible. Si bien la mayor parte del trabajo está bien intencionado, hay otra cara de la moneda, ya que algunos actores de la amenaza están tratando de sacar provecho de ello para su propio beneficio. Mientras continúan rastreando las campañas en curso del grupo Lazarus dirigidas a diversas industrias, nuestros expertos han descubierto que el actor fue tras las entidades relacionadas con COVID-19 hace solo un par de meses. A saber, se identificaron dos incidentes, comentó Seongsu Park, experto en seguridad de Kaspersky.

El primero, añadió el especialista, fue un ataque contra un organismo del Ministerio de Salud. Dos servidores de Windows de la organización fueron comprometidos con sofisticados programas maliciosos el 27 de octubre del 2020. "El malware utilizado es conocido por Kaspersky, llamado wAgent. Un análisis más detallado ha demostrado que el malware wAgent utilizado contra el Ministerio de Salud tiene el mismo esquema de infección que el malware que el grupo Lazarus utilizó anteriormente en los ataques a negocios de criptocracia, explicó Park.

El segundo incidente, agregó, involucró a una compañía farmacéutica. Según la telemetría de Kaspersky, la compañía fue violada el 25 de septiembre del 2020. "Esta compañía está desarrollando una vacuna COVID-19 y también está autorizada para producir y distribuirla. "Esta vez, el atacante desplegó el malware Bookcode, previamente reportado por el proveedor de seguridad para estar conectado a Lazarus, en un ataque a la cadena de suministro a través de una compañía de software surcoreana. Nuestros investigadores también fueron testigos de cómo el grupo Lazarus llevó a cabo un spear-phishing o comprometió estratégicamente los sitios web con el fin de entregar el malware de Bookcode en el pasado, indicó.

Park explicó que tanto el malware wAgent como el Bookcode, utilizado en ambos ataques, tienen funcionalidades similares, como una puerta trasera con todas las funciones. Después de desplegar la carga útil final, el operador del malware puede controlar la máquina de la víctima de casi cualquier manera que desee.