سازمان امنیت سایبری ESET یک درب پشتی که قبلاً مستند نشده بود را کشف کرد که برای حمله به یک شرکت لجستیک در آفریقای جنوبی استفاده می شد. تصور میشود که این بدافزار مربوط به گروه Lazarus باشد، زیرا شباهتهایی با عملیاتها و نمونههای قبلی گروه Lazarus دارد. این درب پشتی جدید کشف شده توسط محققان ESET Vyveva نام داشت.
این شامل ویژگیهای مختلف جاسوسی سایبری مانند سرقت فایلهای پشتی، به دست آوردن اطلاعات از رایانه مورد نظر و درایوهای آن است. از طریق شبکه Tor با سرور Command and Control (C&C) ارتباط برقرار می کند.
محققان ESET کشف کردند که این بدافزار تنها دو ماشین را هدف قرار می دهد. مشخص شده است که این دو دستگاه سرورهای متعلق به شرکت لجستیک در آفریقای جنوبی هستند. بر اساس تحقیقات ESET، Viveva از دسامبر 2018 مورد استفاده قرار گرفته است.
محقق ESET، Filip Jurčacko، که سلاح Lazarus را تجزیه و تحلیل کرد، گفت: "Vyveva کدهای زیادی مشابه نمونه های قدیمی Lazarus دارد که توسط فناوری ESET شناسایی شده اند. اما شباهت به همین جا ختم نمیشود: شباهتهای بسیار دیگری مانند استفاده از پروتکل TLS سرکش برای شبکه، زنجیره اجرای خط فرمان، رمزگذاری و روشهای استفاده از سرویسهای Tor دارد. همه این شباهت ها به گروه لازاروس اشاره دارد. بنابراین، ما مطمئن هستیم که Vyveva به این گروه APT تعلق دارد.
کشف شده توسط محققان ESET، Vyveva دستورات مورد استفاده توسط صادرکنندگان تهدید را اجرا می کند، مانند عملیات فایل و فرآیند، جمع آوری اطلاعات و غیره. همچنین یک فرمان کمتر رایج برای زمان فایل وجود دارد. این دستور امکان کپی مُهرهای زمانی را از یک فایل «اهداکننده» به فایل هدف یا استفاده از یک تاریخ تصادفی فراهم میکند.
اولین نفری باشید که نظر می دهید