Агенція з кібербезпеки ESET виявила раніше не задокументований бэкдор, який використовувався для нападу на логістичну компанію в Південній Африці. Вважається, що це шкідливе програмне забезпечення пов’язане з групою Lazarus, оскільки воно демонструє схожість із попередніми операціями та прикладами групи Lazarus. Цей новий бекдор, відкритий дослідниками ESET, назвали Вивевою.
Він включає в себе різні функції кібершпигунства, такі як викрадення файлів у задніх дверях, отримання інформації з цільового комп’ютера та його драйверів. Він взаємодіє із сервером керування та керування (C&C) через мережу Tor.
Дослідники ESET виявили, що це зловмисне програмне забезпечення націлено лише на дві машини. Встановлено, що ці дві машини є серверами логістичної компанії, розташованої в Південній Африці. Згідно з дослідженнями ESET, Вивева використовується у грудні 2018 року.
Дослідник ESET Філіп Юрчацко, який аналізував зброю Лазаря, сказав: «Вивева має багато кодів, подібних до старих зразків Лазаря, виявлених технологією ESET. Але подібність на цьому не зупиняється: у нього є багато інших подібностей, таких як використання підробленого протоколу TLS у мережевому спілкуванні, ланцюжок виконання командного рядка, шифрування та методи використання служб Tor. Всі ці подібності вказують на групу Лазарів. Тому ми впевнені, що Вивева належить до цієї групи APT ".
Виявлена дослідниками ESET, Вивева виконує команди, використовувані організаторами загроз, такі як операції з файлами та процесами, збір інформації. Існує також менш поширена команда для позначки часу файлу; Ця команда дозволяє копіювати мітки часу з "донорського" файлу в цільовий файл або використовувати випадкову дату.
Першим залиште коментар