Angriffe auf COVID-19-Impfstoff-Forschung deuten auf Lazarus hin

Kaspersky-Forscher haben im Herbst zwei zielgerichtete Angriffe auf Einrichtungen identifiziert, die mit der COVID-19-Forschung in Verbindung stehen [1]. Ein Gesundheitsministerium sowie ein Pharmaunternehmen waren davon betroffen. Die Experten von Kaspersky gehen davon aus, dass hinter diesen Angriffen die berüchtigte Lazarus-Gruppe steckt.

Während die Entwicklung eines geeigneten Impfstoffes gegen COVID-19 auf Hochtouren läuft, versuchen Cyberkriminelle, daraus für sich Gewinn zu schlagen. Aktuelle Kaspersky-Untersuchungen zeigen nun, dass insbesondere die Lazarus-Gruppe bereits seit einigen Monaten Unternehmen unterschiedlicher Branchen im Visier hat, die sich einer Eindämmung der Corona-Pandemie verschrieben haben. Bislang wurden zwei Angriffe identifiziert.

Angriffsschema weist auf Lazarus hin

Der erste Angriff erfolgte auf eine Einrichtung eines Gesundheitsministeriums, wobei zwei Windows-Server am 27. Oktober 2020 mit ausgefeilter Malware kompromittiert wurden. Die Analyse der bereits bekannten Malware ‘wAgent‘ hat ergeben, dass diese ein identisches Infektionsschema aufweist, das durch die Lazarus-Gruppe bereits zuvor bei Angriffen auf Unternehmen im Kryptowährungssektor zum Einsatz kam.

Der zweite Vorfall betraf ein Pharmaunternehmen, das laut der Kaspersky-Telemetrie am 25. September 2020 angegriffen wurde. Das Unternehmen entwickelt einen COVID-19-Impfstoff und hat bereits die Berechtigung erhalten, diesen zu produzieren und zu vertreiben. Dieses Mal setzte der Angreifer die Malware ‚Bookcode‘ ein, die schon einmal mit Lazarus, im Rahmen eines Angriffs über die Lieferkette eines südkoreanischen Softwareunternehmens [2], in Verbindung stand. Kaspersky-Forscher haben darüber hinaus bereits in der Vergangenheit Spear-Phishing-Aktivitäten oder strategische Kompromittierungen von Webseiten durch die Lazarus-Gruppe mit dem Ziel, die Bookcode-Malware zu verbreiten, identifiziert.

Sowohl die wAgent- als auch die Bookcode-Malware, die bei den Angriffen eingesetzt wurden, verfügen über ähnliche Funktionalitäten, etwa eine voll funktionsfähige Backdoor [3]. Nach der Bereitstellung der endgültigen Payload kann der Malware-Akteur den Computer des Opfers auf nahezu beliebige Weise steuern.

Aufgrund der festgestellten Überschneidungen schreiben die Kaspersky-Forscher die Angriffe mit hoher Wahrscheinlichkeit der Lazarus-Gruppe zu. Die Untersuchungen dauern noch an.

„Diese beiden Vorfälle zeigen das Interesse von Lazarus an Informationen im Zusammenhang mit COVID-19“, so Seongsu Park, Sicherheitsexperte bei Kaspersky. „Während die Gruppe bisher vor allem für ihre Aktivitäten im Finanzbereich bekannt ist, zeigt dies, dass auch strategische Forschung für sie Relevanz hat. Wir sind der Auffassung, dass alle Einrichtungen, die derzeit an Impfstoffforschung oder COVID-19-Krisenmanagement beteiligt sind, in höchster Alarmbereitschaft bezüglich Cyberangriffen sein sollten.“

Kaspersky-Produkte erkennen die wAgent-Malware als HEUR:Trojan.Win32.Manuscrypt.gen und Trojan.Win64.Manuscrypt.bx.

Die Bookcode-Malware wird als Trojan.Win64.Manuscrypt.ce identifiziert.

Kaspersky-Tipps vor fortgeschrittenen Bedrohungsszenarien

• Das SOC-Team sollte stets über aktuelle Bedrohungsinformationen verfügen. Das Kaspersky Threat Intelligence Portal [4] ermöglicht den Zugriff auf die Threat Intelligence von Kaspersky und liefert umfassende Daten und Erkenntnisse zu Cyberangriffen.
• Mitarbeiter sollten in den Grundlagen der Cybersicherheitshygiene geschult werden [5], da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen.
• Das Malware-Analysetool Kaspersky Threat Attribution Engine [6] bietet Unternehmen, die ihre eigenen Untersuchungen durchführen möchten, einen Abgleich des entdeckten Schadcodes mit bestehenden Malware-Datenbanken und schreibt diesen basierend auf den Code-Ähnlichkeiten bekannten APT-Kampagnen zu.
• Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response [7] implementieren, um Vorfälle frühzeitig erkennen, untersuchen und Vorfälle beheben zu können.
• Neben einer Endpoint-Schutzlösung sollte zudem eine erweiterte Sicherheitslösung wie Kaspersky Anti Targeted Attack Platform [8] implementiert werden, die auch fortschrittliche Bedrohungen auf Netzwerkebene frühzeitig erkennt.

Die vollständige Kaspersky-Analyse der Angriffe ist verfügbar unter https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/

[1] https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/

[2] https://www.welivesecurity.com/deutsch/2020/11/16/lazarus-supply-chain-angriff-in-suedkorea/

[3] https://threats.kaspersky.com/de/class/Backdoor/

[4] https://www.kaspersky.de/enterprise-security/threat-intelligence

[5] https://www.kaspersky.de/enterprise-security/security-awareness

[6] https://www.kaspersky.de/enterprise-security/cyber-attack-attribution-tool

[7] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[8] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform

Nützliche Links:

• Kaspersky-Analyse zu Lazarus: https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/
• Kaspersky Threat Intelligence Portal: https://www.kaspersky.de/enterprise-security/threat-intelligence
• Weitere Informationen zu Lazarus: https://securelist.com/?s=lazarus

Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter https://www.kaspersky.de/