YamaBot-Malware, die von der Lazarus Group eingesetzt wird

YamaBot ist der Name einer Malware, die von dem Bedrohungsakteur namens Lazarus-Gruppe eingesetzt wird.

YamaBot ist auch unter dem Namen Kaos bekannt und ist in der Programmiersprache Go geschrieben und kompiliert – eine zunehmend beliebte Wahl bei Malware-Autoren.

Die Malware kann über verschlüsselte Befehle und HTTP-Anfragen mit ihrer Command-and-Control-Serverinfrastruktur kommunizieren. Die Malware kann Informationen über den Hostnamen, die MAC-Adresse und den aktuellen Benutzernamen des infizierten Systems hin und her senden.

Die für die Malware verfügbaren Tools ändern sich je nach zugrunde liegender Plattform, auf der sie bereitgestellt wurde. YamaBot-Instanzen, die auf Linux-Maschinen abzielen, verwenden nur Shell-Befehle über /bin/sh, während Instanzen, die auf Windows-Systeme abzielen, eine Reihe verschiedener Befehle verwenden, die Verzeichnis- und Dateiinformationen abrufen, Dateien herunterladen, Zeichenfolgen mit Shell-Befehlen ausführen und YamaBot löschen können.

Die Windows-Version der Malware wurde von ihren Autoren intern YamaBot genannt, und die Versionen, die auf Linux abzielen, werden intern als Kaos bezeichnet.

Sicherheitsforscher warnen vor Angriffen mit der YamaBot-Malware, da Lazarus ein prominenter und gefährlicher Bedrohungsakteur ist.

August 5, 2022