A agência de segurança cibernética ESET descobriu um backdoor anteriormente não documentado usado para atacar uma empresa de logística na África do Sul. Acredita-se que este malware esteja relacionado ao grupo Lazarus, pois mostra semelhanças com as operações anteriores e exemplos do grupo Lazarus. Esta nova porta dos fundos, descoberta por pesquisadores da ESET, foi chamada de Vyveva.
Backdoor inclui vários recursos de espionagem cibernética, como roubo de arquivos, obtenção de informações do computador de destino e seus drivers. Ele se comunica com o servidor de comando e controle (C&C) por meio da rede Tor.
Os pesquisadores da ESET descobriram que esse malware tem como alvo apenas duas máquinas. Essas duas máquinas eram servidores pertencentes à empresa de logística localizada na África do Sul. De acordo com a pesquisa da ESET, o Vyveva está em uso desde dezembro de 2018.
O pesquisador da ESET Filip Jurčacko, que analisou a arma Lazarus, disse: “Vyveva tem muitos códigos semelhantes às amostras mais antigas do Lazarus detectadas pela tecnologia ESET. Mas a semelhança não para por aí: ela tem muitas outras semelhanças, como o uso de um protocolo TLS falso na comunicação de rede, a cadeia de execução da linha de comando, criptografia e métodos de uso dos serviços do Tor. Todas essas semelhanças apontam para o grupo Lázaro. Portanto, temos certeza de que Vyveva pertence a este grupo APT. "
Descoberto por pesquisadores da ESET, Vyveva executa comandos usados por organizadores de ameaças, como operações de arquivo e processo, coleta de informações. Também existe um comando menos comum para o carimbo de data / hora do arquivo; Este comando permite copiar carimbos de data / hora de um arquivo "doador" para um arquivo de destino ou usar uma data aleatória.
Seja o primeiro a comentar