Поделиться
«Лаборатория Касперского» обнаружила кибератаки на разработчиков вакцины против коронавируса
«Лаборатория Касперского» обнаружила две сложные атаки группы Lazarus на организации, занимающиеся исследованиями COVID-19. Жертвами инцидентов, в которых применялись продвинутые вредоносные инструменты, стали министерство здравоохранения и фармацевтическая компания в одной из стран Азии, занимающаяся производством и поставками вакцины.
Два Windows-сервера государственного учреждения были скомпрометированы 27 октября с помощью сложного вредоносного ПО, известного «Лаборатории Касперского» как wAgent. Заражение производилось по той же схеме, что ранее применялась группой Lazarus для проникновения в сети криптовалютных компаний.
Атака же на производителя вакцины, по данным «Лаборатории Касперского», стартовала 25 сентября. Она проводилась с применением зловреда Bookcode, до этого замеченного в атаке на цепочку поставок через компанию, производящую программное обеспечение. Ранее группа Lazarus также использовала методы фишинга и целевой компрометации сайтов.
Оба зловреда представляют собой полнофункциональные бэкдоры, которые позволяют получать контроль над зараженным устройством.
«Эти два инцидента демонстрируют, что Lazarus занимается сбором данных, имеющих отношение к COVID-19, хотя в первую очередь группа известна своими финансовыми интересами. Организаторы сложных атак мыслят стратегически и могут не ограничиваться одним направлением деятельности. Всем компаниям, имеющим отношение к разработке и внедрению вакцины, следует быть максимально готовыми к отражению кибератак», — сказал Сенгсу Парк, эксперт по кибербезопасности «Лаборатории Касперского» в азиатском регионе.
Продукты «Лаборатории Касперского» детектируют wAgent как HEUR:Trojan.Win32.Manuscrypt.gen и Trojan.Win64.Manuscrypt.bx, а Bookcode — как Trojan.Win64.Manuscrypt.ce. «Лаборатория Касперского» продолжает свое расследование.
Чтобы защитить корпоративную инфраструктуру от сложных целевых атак, «Лаборатория Касперского» рекомендует компаниям: предоставить сотрудникам SOC-центра доступ к самым свежим данным об угрозах, например, к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы «Лаборатории Касперского»; регулярно проводить тренинги, которые позволяют повышать цифровую грамотность сотрудников, поскольку целевые атаки часто начинаются с фишинга и других техник социальной инженерии; для проведения собственных внутренних расследований использовать инструмент Kaspersky ThreatAttribution Engine, который помогает сопоставлять новые вредоносные операции с уже известными, определять источники и организаторов; для защиты конечных устройств, своевременного расследования и реагирования на инциденты внедрить EDR-решение, например Kaspersky Endpoint Detection and Response; в дополнение к основным защитным продуктам внедрить решение корпоративного уровня, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии, такое как Kaspersky Anti Targeted Attack Platform.
Поделиться
Короткая ссылка
