Les pirates informatiques comme le fameux groupe Lazarus ne cessent de tirer parti de la recherche en cours sur le vaccin COVID-19 afin de voler des informations sensibles dans le but d’accélérer les efforts de développement de vaccins de leurs pays.

La fameuse entreprise de cyber-sécurité Kaspersky a parlé en détails de deux incidents survenus au niveau d’une société pharmaceutique et d’un ministère d’un gouvernement souverain entre Septembre et Octobre, à l’aide de divers outils et techniques, mais présentant des similitudes dans le processus de post-exploitation, ce qui a poussé les chercheurs à relier les deux attaques aux pirates informatiques liés au gouvernement nord-coréen. L’incident de l’entreprise pharmaceutique (impliquée dans le développement et la distribution du vaccin COVID-19) a vu le groupe Lazarus déployer le malware BookCodes, utilisé dernièrement dans une attaque de la chaine d’approvisionnement d’une société de logiciels sud-coréenne WIZVERA, pour installer des outils d’administration à distance (RAT) sur les systèmes cibles.

Le vecteur d’accès initial utilisé dans l’attaque est toujours inconnu, mais un chargeur de logiciels malveillants identifié par les chercheurs chargerait le BookCodes RAT crypté livré avec des capacités pour la collecte d’informations système, la réception de commandes à distance et la transmission des résultats de l’exécution à serveurs de commande et de contrôle (C2) situés en Corée du Sud.

Dans une autre campagne ciblant un ministère de la Santé, les pirates ont compromis deux serveurs Windows afin d’installer un logiciel malveillant nommé « wAgent », puis l’ont utilisé afin de récupérer d’autres charges utiles malveillantes d’un serveur contrôlé par un pirate informatique.