Kiberdrošības aģentūra ESET atklāja iepriekš nedokumentētu aizmugurējo durvju, ko izmantoja, lai uzbruktu loģistikas uzņēmumam Dienvidāfrikā. Tiek uzskatīts, ka šī ļaunprātīgā programmatūra ir saistīta ar Lazarus grupu, jo tā parāda līdzību ar iepriekšējām Lazarus grupas darbībām un piemēriem. Šo jauno ESET pētnieku atklāto aizmugurējo durvju nosaukums bija Vyveva.
Tas ietver dažādas kiberspiegošanas funkcijas, piemēram, aizmugurējo durvju failu zādzību, informācijas iegūšanu no mērķa datora un tā draiveriem. Ar Tor tīkla starpniecību tā sazinās ar komandu un vadības (C&C) serveri.
ESET pētnieki atklāja, ka šī ļaunprātīgā programmatūra ir paredzēta tikai divām mašīnām. Tika konstatēts, ka šīs divas mašīnas ir serveri, kas pieder loģistikas uzņēmumam, kas atrodas Dienvidāfrikā. Saskaņā ar ESET pētījumu Vyveva ir izmantota kopš 2018. gada decembra.
ESET pētnieks Filips Jurčacko, kurš analizēja Lazarus ieroci, sacīja: “Vyvevai ir daudz kodu, kas līdzīgi vecākajiem Lazarus paraugiem, kurus atklāj ESET tehnoloģija. Bet līdzība ar to neapstājas: tai ir daudz citu līdzību, piemēram, viltota TLS protokola izmantošana tīkla saziņā, komandrindas izpildes ķēde, šifrēšana un Tor pakalpojumu izmantošanas metodes. Visas šīs līdzības norāda uz Lācara grupu. Tāpēc mēs esam pārliecināti, ka Vyveva pieder šai APT grupai. "
ESET pētnieki atklāja, ka Vyveva izpilda komandas, kuras izmanto draudu organizētāji, piemēram, failu un procesu darbības, informācijas vākšana. Ir arī retāk sastopama komandu faila laika zīmogs; Šī komanda ļauj kopēt laika zīmogus no "donora" faila mērķa failā vai izmantot nejaušu datumu.
Esi pirmais, kas komentē