研究人员发现了LazarusHackerGroup用于对货运行业进行针对性攻击的新后门。知名计算机安全软件公司ESET表示,它在对一家南非货运和物流公司的攻击中发现了一种名为Vyveva的新型后门恶意软件。虽然部署恶意软件的初始攻击媒介未知,但对感染恶意软件的机器的检查显示与Lazarus组织有密切联系。Lazarus是朝鲜的一个高级持续威胁(APT)组织。这个由国家支持的APT组织很活跃,目前被认为与以下事件有关:WannaCry勒索软件爆发8000万美元的孟加拉国银行抢劫案对韩国供应链的加密货币盗窃攻击2014年的索尼黑客攻击...一种新发现的武器2018年使用。Vyveva是Lazarus军火库中最新发现的武器之一。该后门于2020年6月首次被发现,但可能至少从2018年开始使用。该后门能够窃取文件、从受感染的机器及其驱动器收集数据、远程连接到命令和控制(C2)服务器并运行任意命令代码。此外,该后门还使用伪造的TLS连接进行网络通信,通过Tor网络连接到其C2的组件,以及APT组织在以往活动中采用的命令行执行链。Vyveva的编码与旧的Lazarus恶意软件家族Manuscrypt/NukeSped有相似之处。Vyveva还包括一个“timestomping”选项,允许从“donor”文件复制创建/写入/访问时间的时间戳。复制文件时还有一个有趣的功能:过滤掉特定的扩展名以仅关注特定类型的内容,例如MicrosoftOffice文件,以供窃取。后门每三分钟通过看门狗模块联系其C2,向其操作员发送数据流,包括驱动器连接或断开连接的时间,以及活动会话和登录用户的数量,一项可能与网络间谍活动有关的活动.来源:zdnet
