YamaBot-malware in dienst van Lazarus Group

YamaBot is de naam van een stukje malware, in dienst van de dreigingsactor die de naam Lazarus-groep draagt.

YamaBot is ook bekend onder de naam Kaos en is geschreven en gecompileerd in de Go-programmeertaal - een steeds populairdere keuze bij malware-auteurs.

De malware kan communiceren met zijn command and control-serverinfrastructuur met behulp van versleutelde opdrachten en HTTP-verzoeken. De malware kan informatie over de hostnaam, het MAC-adres en de huidige gebruikersnaam van het geïnfecteerde systeem heen en weer sturen.

De tools die beschikbaar zijn voor de malware veranderen afhankelijk van het onderliggende platform waarop het is geïmplementeerd. YamaBot-instanties die zich richten op Linux-machines gebruiken alleen shell-commando's via /bin/sh, terwijl instanties die gericht zijn op Windows-systemen een aantal verschillende commando's gebruiken die directory- en bestandsinformatie kunnen verkrijgen, bestanden kunnen downloaden, strings kunnen uitvoeren met behulp van shell-commando's en YamaBot kunnen verwijderen.

De Windows-versie van de malware werd intern door de auteurs YamaBot genoemd en de versies die gericht zijn op Linux worden intern Kaos genoemd.

Beveiligingsonderzoekers waarschuwen voor aanvallen met behulp van de YamaBot-malware, aangezien Lazarus een prominente en gevaarlijke bedreigingsacteur is.

August 5, 2022