Κακόβουλο λογισμικό YamaBot Employed by Lazarus Group

Το YamaBot είναι το όνομα ενός κομματιού κακόβουλου λογισμικού, που χρησιμοποιείται από τον ηθοποιό απειλών που ακούει στο όνομα της ομάδας Lazarus.

Το YamaBot είναι επίσης γνωστό με το όνομα Kaos και είναι γραμμένο και μεταγλωττισμένο στη γλώσσα προγραμματισμού Go - μια ολοένα και πιο δημοφιλής επιλογή στους δημιουργούς κακόβουλου λογισμικού.

Το κακόβουλο λογισμικό μπορεί να επικοινωνεί με την υποδομή διακομιστή εντολών και ελέγχου χρησιμοποιώντας κρυπτογραφημένες εντολές και αιτήματα HTTP. Το κακόβουλο λογισμικό μπορεί να στείλει πληροφορίες για το όνομα κεντρικού υπολογιστή, τη διεύθυνση MAC και το τρέχον όνομα χρήστη του μολυσμένου συστήματος.

Τα εργαλεία που είναι διαθέσιμα στο κακόβουλο λογισμικό αλλάζουν ανάλογα με την υποκείμενη πλατφόρμα στην οποία έχει αναπτυχθεί. Οι περιπτώσεις YamaBot που στοχεύουν μηχανές Linux χρησιμοποιούν μόνο εντολές φλοιού μέσω /bin/sh, ενώ οι περιπτώσεις που στοχεύουν συστήματα Windows χρησιμοποιούν διάφορες εντολές που μπορούν να λάβουν πληροφορίες καταλόγου και αρχείων, να κατεβάσουν αρχεία, να εκτελέσουν συμβολοσειρές χρησιμοποιώντας εντολές φλοιού και να διαγράψουν το YamaBot.

Η έκδοση των Windows του κακόβουλου λογισμικού ονομάστηκε εσωτερικά YamaBot από τους δημιουργούς του και οι εκδόσεις που στοχεύουν το Linux αναφέρονται εσωτερικά ως Kaos.

Οι ερευνητές ασφαλείας προειδοποιούν για επιθέσεις που χρησιμοποιούν το κακόβουλο λογισμικό YamaBot, καθώς ο Lazarus είναι ένας εξέχων και επικίνδυνος παράγοντας απειλών.

August 5, 2022