Tổ chức an ninh mạng ESET đã phát hiện ra một cửa hậu không có giấy tờ trước đây được sử dụng để tấn công một công ty hậu cần ở Nam Phi. Phần mềm độc hại này được cho là có liên quan đến nhóm Lazarus vì nó có những điểm tương đồng với các hoạt động và mẫu trước đó của nhóm Lazarus. Cửa hậu mới này được các nhà nghiên cứu ESET phát hiện và có tên là Vyveva.
Nó bao gồm nhiều tính năng gián điệp mạng khác nhau như đánh cắp tập tin cửa sau và lấy thông tin từ máy tính mục tiêu và ổ đĩa của nó. Nó giao tiếp với máy chủ Chỉ huy và Điều khiển (C&C) thông qua mạng Tor.
Các nhà nghiên cứu của ESET phát hiện ra rằng phần mềm độc hại này chỉ nhắm mục tiêu vào hai máy. Xác định 2018 máy này là máy chủ của công ty logistics ở Nam Phi. Theo nghiên cứu của ESET, Vyveva được sử dụng từ tháng XNUMX/XNUMX.
Nhà nghiên cứu Filip Jurčacko của ESET, người phân tích vũ khí Lazarus, cho biết: “Vyveva có nhiều mã giống với các mẫu Lazarus cũ được công nghệ ESET phát hiện. Nhưng điểm giống nhau không dừng lại ở đó: Nó còn mang nhiều điểm tương đồng khác, chẳng hạn như việc sử dụng giao thức giả TLS trong giao tiếp mạng, chuỗi thực thi dòng lệnh, mã hóa và phương thức sử dụng dịch vụ Tor. Tất cả những điểm tương đồng này đều chỉ ra nhóm Lazarus. Vì vậy, chúng tôi tự tin rằng Vyveva thuộc nhóm APT này”.
Được phát hiện bởi các nhà nghiên cứu ESET, Vyveva thực thi các lệnh được những kẻ tạo ra mối đe dọa sử dụng, chẳng hạn như các hoạt động xử lý và tệp cũng như thu thập thông tin. Cũng thấy một lệnh ít phổ biến hơn cho dấu thời gian của tệp; Lệnh này cho phép sao chép dấu thời gian từ tệp “nhà tài trợ” sang tệp đích hoặc sử dụng ngày tùy ý.
Hãy là người đầu tiên nhận xét