Kyberturvallisuusvirasto ESET löysi aiemmin dokumentoimattoman takaoven, jota käytettiin hyökkäämään Etelä-Afrikan logistiikkayritykseen. Tämän haittaohjelman uskotaan liittyvän Lazarus-ryhmään, koska se osoittaa yhtäläisyyksiä aiempien toimintojen ja esimerkkien kanssa Lazarus-ryhmästä. Tämä ESET-tutkijoiden löytämä uusi takaovi sai nimen Vyveva.
Backdoor sisältää useita verkkovakoiluominaisuuksia, kuten tiedostovarkaudet, tietojen hankkimisen kohdetietokoneelta ja sen ohjaimilta. Se kommunikoi komento- ja hallintapalvelimen (C & C) kanssa Tor-verkon kautta.
ESET-tutkijat havaitsivat, että tämä haittaohjelma kohdistuu vain kahteen koneeseen. Näiden kahden koneen todettiin olevan Etelä-Afrikassa sijaitsevan logistiikkayrityksen palvelimia. ESETin tutkimuksen mukaan Vyveva on ollut käytössä joulukuusta 2018 lähtien.
ESET-tutkija Filip Jurčacko, joka analysoi Lazarus-asetta, sanoi: "Vyvevalla on monia koodeja, jotka muistuttavat vanhempia Lazarus-näytteitä, jotka ESET-tekniikka on havainnut. Mutta samankaltaisuus ei lopu tähän: sillä on monia muita yhtäläisyyksiä, kuten väärennetyn TLS-protokollan käyttö verkkoviestinnässä, komentorivin suoritusketju, salaus ja Tor-palvelujen käyttötavat. Kaikki nämä yhtäläisyydet viittaavat Lasarus-ryhmään. Siksi olemme varmoja, että Vyveva kuuluu tähän APT-ryhmään. "
ESET-tutkijoiden löytämä Vyveva suorittaa uhkajärjestäjien käyttämät komennot, kuten tiedosto- ja prosessitoiminnot, tiedonkeruu. Tiedoston aikaleimalle on myös harvinaisempi komento; Tämän komennon avulla voit kopioida aikaleimat "luovuttajatiedostosta" kohdetiedostoon tai käyttää satunnaista päivämäärää.
Ole ensimmäinen, joka kommentoi