Agentura pro kybernetickou bezpečnost ESET objevila dříve nezdokumentovaný backdoor používaný k útoku na logistickou společnost v Jižní Africe. Předpokládá se, že tento malware souvisí se skupinou Lazarus, protože ukazuje podobnosti s předchozími operacemi a příklady skupiny Lazarus. Tato nová zadní vrátka, kterou objevili vědci společnosti ESET, byla pojmenována Vyveva.
Backdoor obsahuje různé funkce kybernetické špionáže, jako je krádež souborů, získávání informací z cíleného počítače a jeho ovladačů. Komunikuje se serverem velení a řízení (C&C) prostřednictvím sítě Tor.
Vědci z ESETu zjistili, že tento malware cílí pouze na dva počítače. Bylo zjištěno, že tyto dva stroje byly servery patřící logistické společnosti se sídlem v Jižní Africe. Podle výzkumu společnosti ESET se Vyveva používá od prosince 2018.
Výzkumník společnosti ESET Filip Jurčacko, který analyzoval zbraň Lazarus, uvedl: „Vyveva má mnoho kódů podobných starším vzorkům Lazarus detekovaným technologií ESET. Ale podobnost tím nekončí: Má mnoho dalších podobností, například použití falešného protokolu TLS v síťové komunikaci, řetězec provádění příkazového řádku, šifrování a způsoby používání služeb Tor. Všechny tyto podobnosti ukazují na skupinu Lazarus. Proto jsme si jisti, že Vyveva patří do této skupiny APT. “
Vyveva, kterou objevili vědci ESET, provádí příkazy používané organizátory hrozeb, jako jsou operace se soubory a procesy, shromažďování informací. Existuje také méně běžný příkaz pro časové razítko souboru; Tento příkaz umožňuje kopírovat časová razítka ze souboru „dárce“ do cílového souboru nebo použít náhodné datum.
Buďte první kdo napíše komentář