Группировка Lazarus вооружилась новым бэкдором Vyveva

Группировка Lazarus вооружилась новым бэкдором Vyveva

Alexander Antipov

Вредоносная программа обладает обширным набором возможностей для осуществления кибершпионажа.

image

Эксперты компании ESET сообщили о ранее незадокументированном вредоносном ПО, которое киберпреступная группировка Lazarus, связываемая с северокорейскими разведслужбами, использовала для осуществления атак на южноафриканскую логистическую компанию. Хотя специалисты выявили вредонос под названием Vyveva в июне 2020 года, судя по имеющимся свидетельствам, группировка использовала бэкдор как минимум с декабря 2018 года.

Вредоносная программа обладает обширным набором возможностей для осуществления кибершпионажа, позволяющих операторам Lazarus отправлять файлы с зараженных систем на подконтрольные серверы, используя анонимную сеть Tor в качестве безопасного канала связи. Lazarus также может использовать Vyveva для загрузки и выполнения произвольного вредоносного кода на любой скомпрометированной системе в сети жертвы.

Среди других функций бэкдора есть поддержка команд временной метки, позволяющих операторам манипулировать датой любого файла с помощью метаданных из других файлов на системе или устанавливать случайную дату между 2000 и 2004 годами, чтобы скрыть новые или измененные файлы.

Бэкдор подключается к C&C-серверу каждые три минуты, а также использует специальные таймеры для отслеживания вновь подключенных дисков или активных пользовательских сеансов, чтобы инициировать новые подключения к C&C-серверу.

Код Vyveva имеет много общего с семейством вредоносных программ NukeSped. Использование поддельного TLS-протокола в сетевом взаимодействии, цепочки выполнения командной строки и способ использования шифрования и служб Tor указывают на Lazarus.


Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.


Источник: Securitylab