Зловреден софтуер YamaBot

Зловреден софтуер YamaBot Описание

Зловредният софтуер YamaBot е вредна заплаха, която се свързва със севернокорейската APT (Advanced Persistent Threat) киберпрестъпна организация, известна като Lazarus Group . Този конкретен вид зловреден софтуер е написан на езика за програмиране Go и целите му са разположени предимно в Япония. Киберпрестъпниците са създали различни версии на YamaBot в зависимост от конкретните системи, които искат да заразят. Първоначално YamaBot беше използван само срещу Linux OS сървъри, но беше открита по-нова версия, способна да повлияе на Windows OS устройства.

Точната функционалност на YamaBot се различава между двете версии. Като за начало първоначалната информация за заразената система, събрана от зловредния софтуер, включва имена на хостове, потребителски имена и MAC адреси в Windows и само имена на хостове и потребителски имена в Linux. Освен това, версията на Linux може да изпълнява команди само чрез /bin/sh.

В Windows обаче YamaBot може да получава списъци с файлове и директории, да извлича допълнителни файлове, да променя времето за заспиване на системата, да изпълнява команди на обвивката и да се изтрива от машината. По неизвестни причини нападателите са създали заплахата YamaBot, за да връща резултатите от изпълнените команди и на немски език. Що се отнася до комуникацията със сървъра за командване и управление на заплашващата операция (C2, C&C), заплахата използва HTTP заявки.