Złośliwe oprogramowanie YamaBot wykorzystywane przez Lazarus Group

YamaBot to nazwa złośliwego oprogramowania wykorzystywanego przez cyberprzestępcę o nazwie grupa Lazarus.

YamaBot jest również znany pod nazwą Kaos i jest napisany i skompilowany w języku programowania Go – co jest coraz bardziej popularnym wyborem wśród twórców szkodliwego oprogramowania.

Złośliwe oprogramowanie może komunikować się ze swoją infrastrukturą serwera dowodzenia i kontroli za pomocą zaszyfrowanych poleceń i żądań HTTP. Złośliwe oprogramowanie może przesyłać tam i z powrotem informacje o nazwie hosta zainfekowanego systemu, adresie MAC i bieżącej nazwie użytkownika.

Narzędzia dostępne dla szkodliwego oprogramowania zmieniają się w zależności od platformy, na której zostało wdrożone. Instancje YamaBot dla maszyn z systemem Linux używają tylko poleceń powłoki poprzez /bin/sh, podczas gdy instancje dla systemów Windows używają wielu różnych poleceń, które mogą uzyskać informacje o katalogach i plikach, pobierać pliki, wykonywać ciągi za pomocą poleceń powłoki i usuwać YamaBot.

Wersja złośliwego oprogramowania dla systemu Windows została wewnętrznie nazwana przez jej autorów YamaBot, a wersje atakujące Linuksa są wewnętrznie określane jako Kaos.

Badacze bezpieczeństwa ostrzegają przed atakami przy użyciu złośliwego oprogramowania YamaBot, ponieważ Lazarus jest wybitnym i niebezpiecznym podmiotem zajmującym się zagrożeniami.

August 5, 2022