A Lazarus Group által alkalmazott YamaBot kártevő

A YamaBot egy rosszindulatú program neve, amelyet a Lazarus csoport névre keresztelt fenyegetés szereplője alkalmaz.

A YamaBot Kaos néven is ismert, és Go programozási nyelven írták és fordították – ez a rosszindulatú programok szerzői körében egyre népszerűbb választás.

A rosszindulatú program titkosított parancsok és HTTP kérések segítségével tud kommunikálni a parancs- és vezérlőkiszolgáló infrastruktúrájával. A kártevő oda-vissza információkat küldhet a fertőzött rendszer gazdagépnevéről, MAC-címéről és aktuális felhasználónevéről.

A kártevő számára elérhető eszközök attól függően változnak, hogy milyen platformon telepítették. A Linux gépeket célzó YamaBot példányok csak a /bin/sh fájlon keresztül használnak shell-parancsokat, míg a Windows rendszereket célzó példányok számos különböző parancsot használnak, amelyek könyvtár- és fájlinformációkat szerezhetnek, fájlokat tölthetnek le, karakterláncokat futtathatnak shell-parancsokkal, és törölhetik a YamaBot-ot.

A kártevő Windows-os verzióját belsőleg YamaBotnak nevezték el a szerzők, a Linuxot célzó verziókat pedig Kaos néven.

A biztonsági kutatók figyelmeztetnek a YamaBot kártevőt használó támadásokra, mivel Lazarus kiemelkedő és veszélyes fenyegetés szereplő.

August 5, 2022