Die Cybersicherheitsagentur ESET entdeckte eine zuvor nicht dokumentierte Hintertür, mit der ein Logistikunternehmen in Südafrika angegriffen wurde. Es wird angenommen, dass diese Malware mit der Lazarus-Gruppe zusammenhängt, da sie Ähnlichkeiten mit den vorherigen Vorgängen und Beispielen der Lazarus-Gruppe aufweist. Diese neue Hintertür, die von ESET-Forschern entdeckt wurde, wurde Vyveva genannt.
Backdoor enthält verschiedene Cyberspionage-Funktionen wie Datendiebstahl, das Abrufen von Informationen vom Zielcomputer und seinen Treibern. Es kommuniziert mit dem Command and Control (C & C) -Server über das Tor-Netzwerk.
ESET-Forscher fanden heraus, dass diese Malware nur auf zwei Computer abzielt. Es wurde festgestellt, dass diese beiden Maschinen Server des in Südafrika ansässigen Logistikunternehmens sind. Laut Untersuchungen von ESET ist Vyveva seit Dezember 2018 im Einsatz.
Der ESET-Forscher Filip Jurčacko, der die Lazarus-Waffe analysierte, sagte: „Vyveva hat viele Codes, die den älteren Lazarus-Proben ähneln, die mit der ESET-Technologie erkannt wurden. Die Ähnlichkeit hört hier jedoch nicht auf: Sie weist viele andere Ähnlichkeiten auf, z. B. die Verwendung eines gefälschten TLS-Protokolls in der Netzwerkkommunikation, die Befehlszeilenausführungskette, die Verschlüsselung und Methoden zur Verwendung von Tor-Diensten. Alle diese Ähnlichkeiten weisen auf die Lazarus-Gruppe hin. Daher sind wir sicher, dass Vyveva zu dieser APT-Gruppe gehört. "
Vyveva wurde von ESET-Forschern entdeckt und führt Befehle aus, die von Bedrohungsorganisatoren verwendet werden, z. B. Datei- und Prozessvorgänge sowie das Sammeln von Informationen. Es gibt auch einen weniger gebräuchlichen Befehl für den Datei-Zeitstempel. Mit diesem Befehl können Sie Zeitstempel aus einer "Spender" -Datei in eine Zieldatei kopieren oder ein zufälliges Datum verwenden.
Schreiben Sie den ersten Kommentar