ESET предупреждает об обнаружении ранее незафиксированного бэкдора
ESET предупреждает об обнаружении ранее незафиксированного бэкдора
ESET сообщает об обнаружении ранее незафиксированного бэкдора под названием Vyveva, который использовался для атаки на логистическую компанию. Вредоносная программа может перехватывать файлы и собирать информацию о конкретном компьютере и его дисках.
В ходе исследования выявлено только два зараженных устройства, которые являются серверами одной логистической компании, что подтверждает целенаправленность атак. При этом бэкдор Vyveva использовался минимум с декабря 2018 года.
Специалисты ESET связывают это вредоносное программное обеспечение с известной группой киберпреступников Lazarus через общие сходства с их предыдущими атаками. «Вредоносный код Vyveva во многом похож на другие образцы Lazarus, обнаруженные ESET. Кроме этого, на Lazarus указывают использование фальшивого протокола TLS при сетевом соединении, порядок выполнения командной строки, а также методы применения шифрования и служб Tor. Именно поэтому бэкдор Vyveva можно уверенно относить к инструментарию этой APT-группы», — комментирует исследователь ESET.
Бэкдор выполняет команды, которые поступают от злоумышленников, например, операции с файлами и процессами, а также осуществляет сбор информации. Для связи с командным сервером (C&C) Vyveva использует библиотеку Tor. В частности, бэкдор соединяется с C&C каждые 3 минуты, отправляя информацию о зараженном компьютере и его дисках до получения команд.
«Особый интерес вызывает система защиты бэкдора, которая используется для мониторинга подключенных и отключенных дисков. Тогда как таймер безопасности сеанса отслеживает количество активных сеансов, например, пользователей, которые вошли в систему. Эти компоненты могут инициировать соединение с командным сервером в дополнение к обычному, предварительно настраиваемому интервалу», — объясняет исследователь ESET.