Агентство по кибербезопасности ESET обнаружило ранее недокументированный бэкдор, используемый для атаки на логистическую компанию в Южной Африке. Считается, что это вредоносное ПО связано с группой Lazarus, поскольку оно показывает сходство с предыдущими операциями и примерами группы Lazarus. Этот новый бэкдор, обнаруженный исследователями ESET, получил название Vyveva.
Он включает в себя различные функции кибершпионажа, такие как кража файлов через бэкдор, получение информации с целевого компьютера и его драйверов. Он связывается с сервером управления и контроля (C&C) через сеть Tor.
Исследователи ESET обнаружили, что это вредоносное ПО нацелено только на две машины. Эти две машины оказались серверами, принадлежащими логистической компании, расположенной в Южной Африке. Согласно исследованию ESET, Vyveva используется с декабря 2018 года.
Исследователь ESET Филип Юрчацко, который анализировал оружие Lazarus, сказал: «Vyveva имеет много кодов, похожих на старые образцы Lazarus, обнаруженные с помощью технологии ESET. Но на этом сходство не заканчивается: у него много других сходств, таких как использование поддельного протокола TLS в сетевой коммуникации, цепочка выполнения командной строки, шифрование и методы использования сервисов Tor. Все эти сходства указывают на группу Lazarus. Так что мы уверены, что Вывева принадлежит к этой APT-группе ».
Обнаруженная исследователями ESET, Vyveva выполняет команды, используемые организаторами угроз, такие как операции с файлами и процессами, сбор информации. Существует также менее распространенная команда для отметки времени файла; Эта команда позволяет копировать временные метки из "донорского" файла в целевой или использовать случайную дату.
Будьте первым, кто оставит отзыв