科学研究工作人员发现Lazarus网络黑客组织在对于货运物流领域的定项攻击中所选用了一种新的后门。
著名电脑安全软件企业ESET表明,在对于巴西一家货运物流和货运物流公司的攻击中发现了一个新的后门恶意软件,被称作Vyveva。
尽管布署该恶意软件的原始攻击媒介尚不清楚,但对感柒该恶意软件的设备开展查验后发现,该恶意软件与Lazarus集团公司存有密切联系。
Lazarus是一个中国朝鲜的高級持续危害(APT)组织。这一由国家适用的APT组织十分活跃性,现阶段被觉得与其说有联络的情况有:
- WannaCry勒索病毒暴发
- 8000万美金的孟加拉国银行劫案
- 对韩供应链管理进行攻击,开展数字货币偷盗
- 2014年的sony网络黑客事情
- ...
新发现的武器装备,在2018年就有可能在应用
Vyveva是Lazarus军械库中全新发现的装备之一。该后门最开始是在2020年6月被发现的,但最少从2018年逐渐就有可能在应用。
该后门可以盗取文档,从受传染的设备以及控制器搜集数据信息,远程桌面连接到指令和操纵(C2)网络服务器并运作任何编码。
除此之外,该后门还应用虚报的TLS联接开展通信网络,根据Tor数据连接到其C2的部件,及其APT组织在过去的的活動中选用的命令实行链。
Vyveva与旧的Lazarus恶意软件系列产品Manuscrypt/NukeSped在编号上面有共同之处。
Vyveva还包含一个 "timestomping "选择项,容许时间格式建立/写/浏览的时间段从 "捐赠人 "文档被拷贝。复制文档时还有一个有意思的作用:过虑出指定的后缀名,只致力于特殊种类的內容,如微软公司Office文档,开展盗取。
后门根据看门狗1控制模块每三分钟联络其C2,向其操作工传送数据流,包含控制器什么时候联接或断掉,及其主题活动对话和登陆客户的总数 ,该主题活动很有可能与互联网特工相关。
由来:zdnet