Cybersecurity Agency ESET oppdaget en tidligere papirløs bakdør som ble brukt til å angripe et logistikkselskap i Sør-Afrika. Denne malware antas å være relatert til Lazarus-gruppen, da den viser likheter med tidligere operasjoner og eksempler på Lazarus-gruppen. Denne nye bakdøren, oppdaget av ESET-forskere, fikk navnet Vyveva.
Bakdør inkluderer forskjellige cyberspioneringsfunksjoner som filtyveri, innhenting av informasjon fra den målrettede datamaskinen og dens drivere. Den kommuniserer med Command and Control (C&C) serveren via Tor-nettverket.
ESET-forskere fant at denne skadelige programvaren bare retter seg mot to maskiner. Disse to maskinene ble funnet å være servere som tilhører logistikkselskapet i Sør-Afrika. I følge ESETs forskning har Vyveva vært i bruk siden desember 2018.
ESET-forsker Filip Jurčacko, som analyserte Lazarus-våpenet, sa: “Vyveva har mange koder som ligner på de eldre Lazarus-prøvene som ble oppdaget av ESET-teknologi. Men likheten stopper ikke der: Den har mange andre likheter, for eksempel bruk av en falsk TLS-protokoll i nettverkskommunikasjon, kommandolinjekjedekjede, kryptering og metoder for bruk av Tor-tjenester. Alle disse likhetene peker mot Lazarus-gruppen. Derfor er vi sikre på at Vyveva tilhører denne APT-gruppen. "
Oppdaget av ESET-forskere, utfører Vyveva kommandoer som brukes av trusselorganisatorer som fil- og prosessoperasjoner, informasjonsinnsamling. Det er også en mindre vanlig kommando for filstempel; Denne kommandoen gjør det mulig å kopiere tidsstempler fra en "donor" -fil til en målfil eller bruke en tilfeldig dato.
Vær den første til å kommentere