サイバーセキュリティ組織 ESET は、南アフリカの物流会社への攻撃に使用された、これまで文書化されていなかったバックドアを発見しました。 このマルウェアは、Lazarus グループの以前の操作やサンプルと類似点があるため、Lazarus グループに関連していると考えられています。 ESETの研究者によって発見されたこの新しいバックドアはVyvevaと呼ばれていました。
これには、バックドアによるファイルの盗難、標的のコンピューターとそのドライブからの情報の取得など、さまざまなサイバースパイ機能が含まれています。 Tor ネットワーク経由でコマンド アンド コントロール (C&C) サーバーと通信します。
ESETの研究者は、このマルウェアは2018台のマシンのみをターゲットにしていることを明らかにしました。 これら XNUMX 台のマシンは、南アフリカにある物流会社のサーバーであることが判明しました。 ESETの調査によると、VyvevaはXNUMX年XNUMX月から使用されています。
Lazarus兵器を分析したESETの研究者Filip Jurčacko氏は、「Vyvevaには、ESETテクノロジーによって検出された古いLazarusサンプルに類似した多くのコードが含まれています。 しかし、類似点はそれだけではありません。ネットワーキングでの不正な TLS プロトコルの使用、コマンド ライン実行のチェーン、暗号化、Tor サービスの使用方法など、他にも多くの類似点があります。 これらすべての類似点は、ラザロのグループを示しています。 したがって、私たちはヴィヴェヴァがこの APT グループに属していると確信しています。」
ESETの研究者によって発見されたVyvevaは、ファイルやプロセスの操作、情報収集など、脅威の発行者が使用するコマンドを実行します。 あまり一般的ではありませんが、ファイルのタイムスタンプを指定するコマンドもあります。 このコマンドを使用すると、「ドナー」ファイルからターゲット ファイルにタイムスタンプをコピーしたり、ランダムな日付を使用したりすることができます。
最初にコメントする