Agencija za kibernetsko varnost ESET je odkrila predhodno nedokumentirano zakulisje, ki se je uporabljalo za napad na logistično podjetje v Južni Afriki. Ta zlonamerna programska oprema naj bi bila povezana s skupino Lazarus, saj kaže podobnosti s prejšnjimi operacijami in primeri skupine Lazarus. To novo zakulisje, ki so ga odkrili raziskovalci ESET, so poimenovali Vyveva.
Backdoor vključuje različne funkcije kiber-vohunstva, kot so kraje datotek, pridobivanje informacij iz ciljnega računalnika in njegovih gonilnikov. S strežnikom Command and Control (C&C) komunicira prek omrežja Tor.
Raziskovalci ESET so ugotovili, da ta zlonamerna programska oprema cilja samo na dva računalnika. Ugotovljeno je bilo, da sta ta dva stroja strežnika logističnega podjetja s sedežem v Južni Afriki. Po raziskavah ESET-a je Vyveva v uporabi od decembra 2018.
Raziskovalec ESET Filip Jurčacko, ki je analiziral orožje Lazarus, je dejal: »Vyveva ima veliko kod, podobnih starejšim vzorcem Lazarus, zaznanim s tehnologijo ESET. Toda podobnost se pri tem ne ustavi: ima še veliko podobnosti, kot so uporaba lažnega protokola TLS v omrežni komunikaciji, veriga izvajanja ukazne vrstice, šifriranje in načini uporabe storitev Tor. Vse te podobnosti kažejo na skupino Lazarus. Zato smo prepričani, da Vyveva spada v to skupino APT. "
Vyveva, ki so jo odkrili raziskovalci ESET, izvaja ukaze, ki jih uporabljajo organizatorji groženj, kot so datoteke in procesi, zbiranje informacij. Obstaja tudi manj pogost ukaz za časovni žig datoteke; Ta ukaz omogoča kopiranje časovnih žigov iz "donatorske" datoteke v ciljno datoteko ali uporabo naključnega datuma.
Najprej komentirajte