Malware YamaBot

Malware YamaBot Popis

Malware YamaBot je škodlivá hrozba, která je spojována se severokorejskou organizací kyberzločinců APT (Advanced Persistent Threat) známou jako Lazarus Group . Tento konkrétní kmen malwaru je napsán v programovacím jazyce Go a jeho cíle byly primárně umístěny v Japonsku. Kyberzločinci vytvořili různé verze YamaBot v závislosti na konkrétních systémech, které chtějí infikovat. Zpočátku byl YamaBot využíván pouze proti serverům s operačním systémem Linux, ale byla odhalena novější verze schopná ovlivnit zařízení s operačním systémem Windows.

Přesná funkčnost YamaBot se mezi oběma verzemi liší. Pro začátek, počáteční informace o infikovaném systému shromážděné malwarem zahrnují názvy hostitelů, uživatelská jména a adresy MAC v systému Windows a pouze názvy hostitelů a uživatelská jména v systému Linux. Kromě toho může verze pro Linux spouštět příkazy shellu pouze přes /bin/sh.

V systému Windows však může YamaBot získat seznamy souborů a adresářů, načíst další soubory, upravit dobu spánku systému, spouštět příkazy shellu a smazat se ze stroje. Z neznámých důvodů útočníci vytvořili hrozbu YamaBot, aby vrátili výsledky provedených příkazů také v němčině. Pokud jde o komunikaci se serverem Command-and-Control (C2, C&C) ohrožující operace, využívá hrozba HTTP požadavky.