Agentúra pre kybernetickú bezpečnosť ESET objavila predtým neregistrovaný zadný vrátok používaný na útok na logistickú spoločnosť v Južnej Afrike. Predpokladá sa, že tento malware súvisí so skupinou Lazarus, pretože ukazuje podobnosť s predchádzajúcimi operáciami a príkladmi skupiny Lazarus. Tento nový zadný vrátok, ktorý objavili vedci spoločnosti ESET, dostal meno Vyveva.
Backdoor obsahuje rôzne funkcie počítačovej špionáže, ako je krádež súborov, získavanie informácií z cieľového počítača a jeho ovládačov. Komunikuje so serverom velenia a riadenia (C&C) prostredníctvom siete Tor.
Vedci z ESET-u zistili, že tento malware je zameraný iba na dva počítače. Zistilo sa, že tieto dva stroje boli servery patriace logistickej spoločnosti so sídlom v Južnej Afrike. Podľa výskumu spoločnosti ESET sa Vyveva používa od decembra 2018.
Výskumný pracovník spoločnosti ESET Filip Jurčacko, ktorý analyzoval zbraň Lazarus, uviedol: „Vyveva má veľa kódov podobných starším vzorkám Lazara zisteným technológiou ESET. Tým však podobnosť nekončí: Má mnoho ďalších podobností, napríklad použitie falošného protokolu TLS v sieťovej komunikácii, reťazec vykonávania príkazového riadku, šifrovanie a spôsoby využívania služieb Tor. Všetky tieto podobnosti poukazujú na skupinu Lazarus. Preto sme si istí, že Vyveva patrí do tejto skupiny APT. “
Vyveva, ktorú objavili vedci spoločnosti ESET, vykonáva príkazy používané organizátormi hrozieb, ako sú operácie so súbormi a procesmi a zhromažďovanie informácií. Existuje tiež menej častý príkaz pre časovú pečiatku súboru; Tento príkaz umožňuje kopírovať časové značky zo súboru „darcu“ do cieľového súboru alebo použiť náhodný dátum.
Buďte prvý komentár