YamaBot Malware ansatt av Lazarus Group

YamaBot er navnet på et stykke malware, ansatt av trusselaktøren som går under navnet Lazarus-gruppen.

YamaBot er også kjent under navnet Kaos og er skrevet og kompilert i programmeringsspråket Go - et stadig mer populært valg blant skadevareforfattere.

Skadevaren kan kommunisere med sin kommando- og kontrollserverinfrastruktur ved å bruke krypterte kommandoer og HTTP-forespørsler. Skadevaren kan sende frem og tilbake informasjon om det infiserte systemets vertsnavn, MAC-adresse og gjeldende brukernavn.

Verktøyene som er tilgjengelige for skadelig programvare endres avhengig av den underliggende plattformen den ble distribuert på. YamaBot-forekomster som retter seg mot Linux-maskiner bruker kun skallkommandoer gjennom /bin/sh, mens forekomster som er målrettet mot Windows-systemer bruker en rekke forskjellige kommandoer som kan hente katalog- og filinformasjon, laste ned filer, utføre strenger ved hjelp av skallkommandoer og slette YamaBot.

Windows-versjonen av skadelig programvare ble internt kalt YamaBot av forfatterne, og versjonene som retter seg mot Linux er internt referert til som Kaos.

Sikkerhetsforskere advarer mot angrep med YamaBot-malware, da Lazarus er en fremtredende og farlig trusselaktør.

August 5, 2022