Agensi keselamatan siber ESET menemui pintu belakang yang sebelumnya tidak berdokumen yang digunakan untuk menyerang sebuah syarikat logistik di Afrika Selatan. Perisian malware ini dianggap berkaitan dengan kumpulan Lazarus, kerana ia menunjukkan persamaan dengan operasi sebelumnya dan contoh kumpulan Lazarus. Pintu belakang baru ini, yang ditemui oleh penyelidik ESET, diberi nama Vyveva.
Ia merangkumi pelbagai ciri pengintipan siber seperti pencurian fail pintu belakang, mendapatkan maklumat dari komputer dan pemacu yang disasarkan. Ia berkomunikasi dengan pelayan Command and Control (C&C) melalui rangkaian Tor.
Penyelidik ESET mendapati bahawa perisian hasad ini hanya menyasarkan dua mesin. Kedua-dua mesin ini didapati menjadi pelayan milik syarikat logistik di Afrika Selatan. Menurut kajian ESET, Vyveva telah digunakan sejak Disember 2018.
Penyelidik ESET Filip Jurčacko, yang menganalisis senjata Lazarus, berkata: “Vyveva mempunyai banyak kod yang serupa dengan sampel Lazarus yang lebih tua yang dikesan oleh teknologi ESET. Tetapi kesamaan tidak berhenti di situ: Ia mempunyai banyak persamaan lain, seperti penggunaan protokol TLS palsu dalam komunikasi rangkaian, rantai pelaksanaan baris perintah, penyulitan, dan kaedah menggunakan perkhidmatan Tor. Semua persamaan ini menunjukkan kumpulan Lazarus. Oleh itu, kami pasti bahawa Vyveva tergolong dalam kumpulan APT ini. "
Ditemui oleh penyelidik ESET, Vyveva melaksanakan perintah yang digunakan oleh penganjur ancaman seperti operasi fail dan proses, pengumpulan maklumat. Terdapat juga arahan yang kurang biasa untuk cap masa fail; Perintah ini memungkinkan untuk menyalin cap waktu dari fail "penderma" ke fail sasaran atau menggunakan tarikh rawak.
Jadilah yang pertama memberi komen