Organizația de securitate cibernetică ESET a descoperit o ușă din spate nedocumentată anterior folosită pentru a ataca o companie de logistică din Africa de Sud. Se crede că acest malware este legat de grupul Lazarus, deoarece prezintă asemănări cu operațiunile și mostrele anterioare ale grupului Lazarus. Această nouă ușă din spate, descoperită de cercetătorii ESET, se numește Vyveva.
Include diverse funcții de spionaj cibernetic, cum ar fi furtul de fișiere din spate și obținerea de informații de la computerul vizat și de la unitățile sale. Acesta comunică cu serverul de comandă și control (C&C) prin intermediul rețelei Tor.
Cercetătorii ESET au descoperit că acest malware viza doar două mașini. S-a stabilit că aceste două mașini erau servere aparținând companiei de logistică din Africa de Sud. Conform cercetărilor ESET, Vyveva a fost folosit din decembrie 2018.
Cercetătorul ESET Filip Jurčacko, care a analizat arma Lazarus, a declarat: „Vyveva are multe coduri care sunt similare cu eșantioanele Lazarus mai vechi detectate de tehnologia ESET. Dar asemănarea nu se oprește aici: are și multe alte asemănări, cum ar fi utilizarea unui protocol pseudo-TLS în comunicarea în rețea, lanțul de execuție a liniei de comandă, criptarea și metodele de utilizare a serviciilor Tor. Toate aceste asemănări indică grupul Lazăr. Prin urmare, suntem încrezători că Vyveva aparține acestui grup APT.”
Descoperit de cercetătorii ESET, Vyveva execută comenzi utilizate de creatorii de amenințări, cum ar fi operațiunile de fișiere și procese și colectarea de informații. De asemenea, este văzută o comandă mai puțin obișnuită pentru marcajul de timp al fișierului; Această comandă permite copierea marcajelor de timp dintr-un fișier „donator” într-un fișier țintă sau utilizarea unei date arbitrare.
Fii primul care comenteaza