Kibernetinio saugumo organizacija ESET aptiko anksčiau nedokumentuotą užpakalinį durį, naudojamą atakuojant logistikos įmonę Pietų Afrikoje. Manoma, kad ši kenkėjiška programa yra susijusi su Lazarus grupe, nes rodo panašumų su ankstesnėmis Lazarus grupės operacijomis ir pavyzdžiais. Šios naujos užpakalinės durys, kurias atrado ESET tyrėjai, vadinasi Vyveva.
Tai apima įvairias kibernetinio šnipinėjimo funkcijas, tokias kaip užpakalinių durų vagystės ir informacijos gavimas iš tikslinio kompiuterio ir jo diskų. Jis palaiko ryšį su komandų ir valdymo (C&C) serveriu per Tor tinklą.
ESET tyrėjai nustatė, kad ši kenkėjiška programa buvo skirta tik dviems kompiuteriams. Nustatyta, kad šios dvi mašinos buvo serveriai, priklausantys logistikos kompanijai Pietų Afrikoje. ESET tyrimo duomenimis, „Vyveva“ buvo naudojama nuo 2018 m. gruodžio mėn.
ESET tyrėjas Filipas Jurčacko, išanalizavęs Lazarus ginklą, sakė: „Vyveva turi daug kodų, panašių į senesnius ESET technologijos aptiktus Lazarus pavyzdžius. Tačiau panašumas tuo nesibaigia: jis taip pat turi daug kitų panašumų, tokių kaip pseudo-TLS protokolo naudojimas tinklo komunikacijoje, komandų eilutės vykdymo grandinė, šifravimas ir Tor paslaugų naudojimo metodai. Visi šie panašumai rodo Lozoriaus grupę. Todėl esame įsitikinę, kad Vyveva priklauso šiai APT grupei.
ESET tyrinėtojų atrasta „Vyveva“ vykdo komandas, kurias naudoja grėsmių kūrėjai, pvz., failų ir procesų operacijas bei informacijos rinkimą. Taip pat matoma mažiau paplitusi failo laiko žymos komanda; Ši komanda leidžia kopijuoti laiko žymes iš „donor“ failo į tikslinį failą arba naudojant atsitiktinę datą.
Būkite pirmas, kuris komentuoja