Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Группировка Lazarus вооружилась новым бэкдором Vyveva

12/04/21

backdoor-Apr-12-2021-09-09-03-92-AMЭксперты компании ESET сообщили о ранее незадокументированном вредоносном ПО, которое киберпреступная группировка Lazarus, связываемая с северокорейскими разведслужбами, использовала для осуществления атак на южноафриканскую логистическую компанию.

Хотя специалисты выявили вредонос под названием Vyveva в июне 2020 года, судя по имеющимся свидетельствам, группировка использовала бэкдор как минимум с декабря 2018 года.

Вредоносная программа обладает обширным набором возможностей для осуществления кибершпионажа, позволяющих операторам Lazarus отправлять файлы с зараженных систем на подконтрольные серверы, используя анонимную сеть Tor в качестве безопасного канала связи. Lazarus также может использовать Vyveva для загрузки и выполнения произвольного вредоносного кода на любой скомпрометированной системе в сети жертвы.

Среди других функций бэкдора есть поддержка команд временной метки, позволяющих операторам манипулировать датой любого файла с помощью метаданных из других файлов на системе или устанавливать случайную дату между 2000 и 2004 годами, чтобы скрыть новые или измененные файлы.

Бэкдор подключается к C&C-серверу каждые три минуты, а также использует специальные таймеры для отслеживания вновь подключенных дисков или активных пользовательских сеансов, чтобы инициировать новые подключения к C&C-серверу.

Код Vyveva имеет много общего с семейством вредоносных программ NukeSped. Использование поддельного TLS-протокола в сетевом взаимодействии, цепочки выполнения командной строки и способ использования шифрования и служб Tor указывают на Lazarus.

Темы:ПреступленияLazarus GroupКНДРбэкдоры

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...