Cybersikkerhedsbureauet ESET opdagede en tidligere udokumenteret bagdør, der blev brugt til at angribe et logistikfirma i Sydafrika. Denne malware menes at være relateret til Lazarus-gruppen, da den viser ligheder med de tidligere operationer og eksempler på Lazarus-gruppen. Denne nye bagdør, der blev opdaget af ESET-forskere, fik navnet Vyveva.
Bagdøren inkluderer forskellige cyberspioneringsfunktioner såsom filtyveri, indhentning af oplysninger fra den målrettede computer og dens drivere. Det kommunikerer med Command & Control (C&C) serveren via Tor-netværket.
ESET-forskere fandt ud af, at denne malware kun er målrettet mod to maskiner. Disse to maskiner viste sig at være servere, der tilhører logistikfirmaet i Sydafrika. Ifølge ESETs forskning har Vyveva været i brug siden december 2018.
ESET-forsker Filip Jurčacko, der analyserede Lazarus-våbenet, sagde: ”Vyveva har mange koder, der ligner de ældre Lazarus-prøver, der blev opdaget ved ESET-teknologi. Men ligheden stopper ikke der: Den har mange andre ligheder, såsom brugen af en falsk TLS-protokol i netværkskommunikation, kommandolinjekædekæden, kryptering og metoder til brug af Tor-tjenester. Alle disse ligheder peger på Lazarus-gruppen. Derfor er vi sikre på, at Vyveva tilhører denne APT-gruppe. "
Opdaget af ESET-forskere, udfører Vyveva kommandoer, der bruges af trusselorganisatorer, såsom fil- og procesoperationer, informationsindsamling. Der er også en mindre almindelig kommando til filtidsstempel; Denne kommando gør det muligt at kopiere tidsstempler fra en "donor" -fil til en målfil eller bruge en tilfældig dato.
Vær den første til at kommentere