Lazarus Group が悪用する YamaBot マルウェア

YamaBot は、Lazarus グループという名前の脅威アクターが使用するマルウェアの名前です。

YamaBot は Kaos という名前でも知られており、Go プログラミング言語で作成およびコンパイルされています。Go プログラミング言語は、マルウェア作成者の間でますます人気が高まっています。

このマルウェアは、暗号化されたコマンドと HTTP 要求を使用して、コマンド アンド コントロール サーバー インフラストラクチャと通信できます。マルウェアは、感染したシステムのホスト名、MAC アドレス、および現在のユーザー名に関する情報をやり取りできます。

マルウェアが利用できるツールは、展開された基盤となるプラットフォームによって異なります。 Linux マシンを対象とする YamaBot インスタンスは、/bin/sh を介してシェル コマンドのみを使用しますが、Windows システムを対象とするインスタンスは、ディレクトリとファイル情報の取得、ファイルのダウンロード、シェル コマンドを使用した文字列の実行、および YamaBot の削除を実行できるさまざまなコマンドを使用します。

このマルウェアの Windows バージョンは、作成者によって内部的に YamaBot と名付けられ、Linux をターゲットとするバージョンは内部的に Kaos と呼ばれています。

Lazarus は著名で危険な攻撃者であるため、セキュリティ研究者は、YamaBot マルウェアを使用した攻撃に対して警告を発しています。

August 5, 2022