YamaBot Malware ansat af Lazarus Group

YamaBot er navnet på et stykke malware, ansat af trusselsaktøren, der går under navnet Lazarus-gruppen.

YamaBot er også kendt under navnet Kaos og er skrevet og kompileret i programmeringssproget Go - et stadig mere populært valg blandt malware-forfattere.

Malwaren kan kommunikere med sin kommando- og kontrolserverinfrastruktur ved hjælp af krypterede kommandoer og HTTP-anmodninger. Malwaren kan sende information frem og tilbage om det inficerede systems værtsnavn, MAC-adresse og nuværende brugernavn.

De værktøjer, der er tilgængelige for malwaren, ændres afhængigt af den underliggende platform, den blev implementeret på. YamaBot-forekomster, der er målrettet mod Linux-maskiner, bruger kun shell-kommandoer gennem /bin/sh, mens forekomster, der er målrettet mod Windows-systemer, bruger en række forskellige kommandoer, der kan hente mappe- og filoplysninger, downloade filer, udføre strenge ved hjælp af shell-kommandoer og slette YamaBot.

Windows-versionen af malwaren blev internt navngivet YamaBot af dens forfattere, og versionerne rettet mod Linux omtales internt som Kaos.

Sikkerhedsforskere advarer mod angreb ved hjælp af YamaBot-malwaren, da Lazarus er en fremtrædende og farlig trusselsaktør.

August 5, 2022