Группировка Lazarus вооружилась новым бэкдором Vyveva

Эксперты компании ESET сообщили о ранее незадокументированном вредоносном ПО, которое киберпреступная группировка Lazarus, связываемая с северокорейскими разведслужбами, использовала для осуществления атак на южноафриканскую логистическую компанию. Хотя специалисты выявили вредонос под названием Vyveva в июне 2020 года, судя по имеющимся свидетельствам, группировка использовала бэкдор как минимум с декабря 2018 года.

Вредоносная программа обладает обширным набором возможностей для осуществления кибершпионажа, позволяющих операторам Lazarus отправлять файлы с зараженных систем на подконтрольные серверы, используя анонимную сеть Tor в качестве безопасного канала связи. Lazarus также может использовать Vyveva для загрузки и выполнения произвольного вредоносного кода на любой скомпрометированной системе в сети жертвы.

Среди других функций бэкдора есть поддержка команд временной метки, позволяющих операторам манипулировать датой любого файла с помощью метаданных из других файлов на системе или устанавливать случайную дату между 2000 и 2004 годами, чтобы скрыть новые или измененные файлы.

Бэкдор подключается к C&C-серверу каждые три минуты, а также использует специальные таймеры для отслеживания вновь подключенных дисков или активных пользовательских сеансов, чтобы инициировать новые подключения к C&C-серверу.

Код Vyveva имеет много общего с семейством вредоносных программ NukeSped. Использование поддельного TLS-протокола в сетевом взаимодействии, цепочки выполнения командной строки и способ использования шифрования и служб Tor указывают на Lazarus.