Cybersäkerhetsbyrån ESET upptäckte en tidigare papperslös bakdörr som används för att attackera ett logistikföretag i Sydafrika. Denna malware anses vara relaterad till Lazarus-gruppen, eftersom den visar likheter med tidigare operationer och exempel på Lazarus-gruppen. Denna nya bakdörr, upptäckt av ESET-forskare, fick namnet Vyveva.
Den innehåller olika cyberspioneringsfunktioner som bakdörrfilstöld, att få information från den riktade datorn och dess förare. Den kommunicerar med C&C-servern (Command and Control) via Tor-nätverket.
ESET-forskare fann att detta skadliga program bara riktar sig mot två maskiner. Dessa två maskiner befanns vara servrar som tillhör logistikföretaget i Sydafrika. Enligt ESETs forskning har Vyveva använts sedan december 2018.
ESET-forskare Filip Jurčacko, som analyserade Lazarus-vapnet, sa: ”Vyveva har många koder som liknar de äldre Lazarus-proverna som upptäcktes av ESET-tekniken. Men likheten slutar inte där: Den har många andra likheter, till exempel användningen av ett falskt TLS-protokoll i nätverkskommunikation, kommandoradsutförandekedjan, kryptering och metoder för att använda Tor-tjänster. Alla dessa likheter pekar på Lazarus-gruppen. Därför är vi säkra på att Vyveva tillhör denna APT-grupp. "
Upptäckt av ESET-forskare kör Vyveva kommandon som används av hotorganisatörer som fil- och processoperationer, informationsinsamling. Det finns också ett mindre vanligt kommando för filtidsstämpel; Detta kommando gör det möjligt att kopiera tidsstämplar från en "donator" -fil till en målfil eller använda ett slumpmässigt datum.
Var den första att kommentera