研究人员发现Lazarus黑客组织在针对货运行业的定向攻击中所采用了一种新的后门。
知名电脑安全软件公司ESET表示,在针对南非一家货运和物流公司的攻击中发现了一个新的后门恶意软件,被称为Vyveva。
虽然部署该恶意软件的初始攻击载体尚不清楚,但对感染该恶意软件的机器进行检查后发现,该恶意软件与Lazarus集团存在紧密联系。
Lazarus是一个朝鲜的高级持续性威胁(APT)组织。这个由国家支持的APT组织十分活跃,目前被认为与其有联系的事件有:
- WannaCry勒索软件爆发
- 8000万美元的孟加拉国银行抢劫案
- 对韩国供应链发起攻击,进行加密货币盗窃
- 2014年的索尼黑客事件
- ...
新发现的武器,在2018年就可能在使用
Vyveva是Lazarus武器库中最新发现的武器之一。该后门最早是在2020年6月被发现的,但至少从2018年开始就可能在使用。
该后门能够窃取文件,从受感染的机器及其驱动器收集数据,远程连接到命令和控制(C2)服务器并运行任意代码。
此外,该后门还使用虚假的TLS连接进行网络通信,通过Tor网络连接到其C2的组件,以及APT组织在过去的活动中采用的命令行执行链。
Vyveva与旧的Lazarus恶意软件系列Manuscrypt/NukeSped在编码上有相似之处。
Vyveva还包括一个 "timestomping "选项,允许时间戳创建/写/访问的时间从 "捐赠者 "文件被复制。复制文件时还有一个有趣的功能:过滤出特定的扩展名,只专注于特定类型的内容,如微软Office文件,进行窃取。
后门通过看门狗模块每三分钟联系其C2,向其操作员发送数据流,包括驱动器何时连接或断开,以及活动会话和登录用户的数量 ,该活动可能与网络间谍有关。
来源:zdnet