研究人員發(fā)現(xiàn)Lazarus黑客組織在針對貨運(yùn)行業(yè)的定向攻擊中所采用了一種新的后門。

[[392191]]

知名電腦安全軟件公司ESET表示，在針對南非一家貨運(yùn)和物流公司的攻擊中發(fā)現(xiàn)了一個新的后門惡意軟件，被稱為Vyveva。

雖然部署該惡意軟件的初始攻擊載體尚不清楚，但對感染該惡意軟件的機(jī)器進(jìn)行檢查后發(fā)現(xiàn)，該惡意軟件與Lazarus集團(tuán)存在緊密聯(lián)系。

Lazarus是一個朝鮮的高級持續(xù)性威脅(APT)組織。這個由國家支持的APT組織十分活躍，目前被認(rèn)為與其有聯(lián)系的事件有：

• WannaCry勒索軟件爆發(fā)
• 8000萬美元的孟加拉國銀行搶劫案
• 對韓國供應(yīng)鏈發(fā)起攻擊，進(jìn)行加密貨幣盜竊
• 2014年的索尼黑客事件
• ...

新發(fā)現(xiàn)的武器，在2018年就可能在使用

Vyveva是Lazarus武器庫中最新發(fā)現(xiàn)的武器之一。該后門最早是在2020年6月被發(fā)現(xiàn)的，但至少從2018年開始就可能在使用。

該后門能夠竊取文件，從受感染的機(jī)器及其驅(qū)動器收集數(shù)據(jù)，遠(yuǎn)程連接到命令和控制(C2)服務(wù)器并運(yùn)行任意代碼。

此外，該后門還使用虛假的TLS連接進(jìn)行網(wǎng)絡(luò)通信，通過Tor網(wǎng)絡(luò)連接到其C2的組件，以及APT組織在過去的活動中采用的命令行執(zhí)行鏈。

Vyveva與舊的Lazarus惡意軟件系列Manuscrypt/NukeSped在編碼上有相似之處。

Vyveva還包括一個 "timestomping "選項(xiàng)，允許時間戳創(chuàng)建/寫/訪問的時間從 "捐贈者 "文件被復(fù)制。復(fù)制文件時還有一個有趣的功能：過濾出特定的擴(kuò)展名，只專注于特定類型的內(nèi)容，如微軟Office文件，進(jìn)行竊取。

后門通過看門狗模塊每三分鐘聯(lián)系其C2，向其操作員發(fā)送數(shù)據(jù)流，包括驅(qū)動器何時連接或斷開，以及活動會話和登錄用戶的數(shù)量 ，該活動可能與網(wǎng)絡(luò)間諜有關(guān)。

來源：zdnet