Вредоносное ПО YamaBot, используемое Lazarus Group

YamaBot — это название вредоносного ПО, используемого злоумышленником, известным под именем группы Lazarus.

YamaBot также известен под названием Kaos и написан и скомпилирован на языке программирования Go, который становится все более популярным среди авторов вредоносных программ.

Вредоносное ПО может связываться со своей инфраструктурой сервера управления и контроля, используя зашифрованные команды и HTTP-запросы. Вредоносное ПО может отправлять туда и обратно информацию об имени хоста зараженной системы, MAC-адресе и текущем имени пользователя.

Инструменты, доступные вредоносному ПО, меняются в зависимости от базовой платформы, на которой оно было развернуто. Экземпляры YamaBot, предназначенные для машин Linux, используют команды оболочки только через /bin/sh, в то время как экземпляры, предназначенные для систем Windows, используют ряд различных команд, которые могут получать информацию о каталогах и файлах, загружать файлы, выполнять строки с помощью команд оболочки и удалять YamaBot.

Версия вредоносного ПО для Windows получила внутреннее название YamaBot от его авторов, а версии, предназначенные для Linux, получили внутреннее название Kaos.

Исследователи безопасности предупреждают об атаках с использованием вредоносного ПО YamaBot, поскольку Lazarus является известным и опасным субъектом угроз.

August 5, 2022