Kiber təhlükəsizlik agentliyi ESET, Cənubi Afrikada bir lojistik şirkətinə hücum etmək üçün istifadə olunan əvvəllər sənədsiz bir arxa qapı aşkarladı. Bu zərərli proqramın Lazarus qrupu ilə əlaqəli olduğu düşünülür, çünki əvvəlki əməliyyatlar və Lazarus qrupunun nümunələri ilə oxşarlıq göstərir. ESET tədqiqatçıları tərəfindən kəşf edilən bu yeni arxa qapıya Vyveva adı verildi.
Arxa qapı, fayl oğurlanması, hədəf kompüter və sürücülərindən məlumat əldə etmək kimi müxtəlif kiber casusluq xüsusiyyətlərini ehtiva edir. Tor şəbəkəsi vasitəsilə Command and Control (C&C) server ilə əlaqə qurur.
ESET tədqiqatçıları bu zərərli proqramın yalnız iki maşını hədəf aldığını aşkar etdilər. Bu iki maşının Cənubi Afrikada yerləşən lojistik şirkətinə aid server olduğu təsbit edildi. ESET-in araşdırmasına görə, Vyveva 2018-ci ilin dekabr ayından bəri istifadə olunur.
Lazarus silahını analiz edən ESET tədqiqatçısı Filip Jurčacko dedi: “Vyvevanın ESET texnologiyası tərəfindən aşkar edilmiş köhnə Lazarus nümunələrinə bənzər bir çox kodu var. Ancaq bənzərlik bununla bitmir: Şəbəkə rabitəsində saxta TLS protokolunun istifadəsi, komanda xətti icra zənciri, şifrələmə və Tor xidmətlərindən istifadə üsulları kimi bir çox oxşar cəhətləri var. Bütün bu oxşarlıqlar Lazarus qrupuna işarə edir. Buna görə də Vyvevanın bu APT qrupuna aid olduğuna əminik. "
ESET tədqiqatçıları tərəfindən kəşf edilən Vyveva, fayl və proses əməliyyatları, məlumat toplama kimi təhdid təşkilatçılarının istifadə etdiyi əmrləri yerinə yetirir. Fayl zaman damgası üçün daha az yayılmış bir əmr var; Bu əmr zaman damğalarını bir "donor" sənədindən hədəf sənədinə kopyalamaq və ya təsadüfi bir tarix istifadə etməyə imkan verir.
Şərh yazan ilk kişi olun