YamaBot Malware anställd av Lazarus Group

YamaBot är namnet på en del av skadlig programvara, anställd av hotaktören som går under namnet Lazarus group.

YamaBot är också känd under namnet Kaos och är skriven och kompilerad i programmeringsspråket Go - ett alltmer populärt val bland författare av skadlig programvara.

Skadlig programvara kan kommunicera med sin kommando- och kontrollserverinfrastruktur med hjälp av krypterade kommandon och HTTP-förfrågningar. Skadlig programvara kan skicka fram och tillbaka information om det infekterade systemets värdnamn, MAC-adress och nuvarande användarnamn.

Verktygen som är tillgängliga för skadlig programvara ändras beroende på den underliggande plattformen den distribuerades på. YamaBot-instanser som riktar sig till Linux-maskiner använder endast skalkommandon via /bin/sh, medan instanser som riktar sig till Windows-system använder ett antal olika kommandon som kan hämta katalog- och filinformation, ladda ner filer, köra strängar med skalkommandon och ta bort YamaBot.

Windows-versionen av skadlig programvara fick internt namnet YamaBot av dess författare och versionerna som riktar sig mot Linux kallas internt för Kaos.

Säkerhetsforskare varnar för attacker med skadlig programvara YamaBot eftersom Lazarus är en framträdande och farlig hotaktör.

August 5, 2022