Lazarus Group 使用的 YamaBot 惡意軟件

YamaBot 是一種惡意軟件的名稱,由名為 Lazarus 的威脅行為者使用。

YamaBot 也被稱為 Kaos,它是用 Go 編程語言編寫和編譯的——這是一種越來越受惡意軟件作者歡迎的選擇。

該惡意軟件可以使用加密命令和 HTTP 請求與其命令和控制服務器基礎設施進行通信。該惡意軟件可以來回發送有關受感染系統的主機名、MAC 地址和當前用戶名的信息。

惡意軟件可用的工具會根據其部署的底層平台而變化。針對 Linux 機器的 YamaBot 實例僅通過 /bin/sh 使用 shell 命令,而針對 Windows 系統的實例使用許多不同的命令,可以獲取目錄和文件信息、下載文件、使用 shell 命令執行字符串以及刪除 YamaBot。

該惡意軟件的 Windows 版本在內部被其作者命名為 YamaBot,而針對 Linux 的版本在內部被稱為 Kaos。

安全研究人員警告不要使用 YamaBot 惡意軟件進行攻擊,因為 Lazarus 是一個突出且危險的威脅參與者。

August 5, 2022