Vyveva Backdoor Trojan

En tidligere ukendt bagdør trojansk trussel ved navn Vyveva er blevet opdaget af cybersikkerhedsforskere. Truslen består af flere forskellige komponenter, hvor kun tre hidtil er analyseret - installationsprogrammet, læsseren og hovednyttelasten. Visse omstændigheder viser, at Vyveva er en del af malware-arsenalet i Lazarus APT (Advanced Persistent Threat) -gruppen. Selvom det antages, at Vyveva Backdoor Trojan har været brugt siden mindst 2018, er der indtil videre kun opdaget to systemer, der er inficeret med den. Begge de kompromitterede enheder tilhører et godslogistikfirma fra Sydafrika.

Vyvevas angrebskæde

Den indledende kompromisvektor, der blev brugt i angrebet, er ikke bekræftet, men truslen blev højst sandsynligt leveret gennem en meget målrettet operation. Den tidligste komponent i angrebskæden, der er blevet opdaget, er malwareinstallatøren, men den forventer at finde visse andre komponenter, der allerede findes på systemet, hvilket tyder på, at der findes en tidligere dropper. Installationsprogrammet har to hovedopgaver - etablering af persistensmekanismen for bagdørslæsseren og indlejring af standard bagdørkonfiguration i systemets registreringsdatabase.

Den vigtigste truende komponent i Vyvevva er ansvarlig for at oprette forbindelse til Command-and-Control (C2, C&C) serverne i operationen og udføre alle kommandoer modtaget fra trusselsaktøren. Vyveva kan genkende i alt 23 kommandoer, hvoraf de fleste er relateret til manipulation af filsystemet og proceshandlinger eller indsamling af information. Der er dog nogle kommandoer, der skiller sig ud. For eksempel er Vyvevva i stand til tidsstempling af filer. Hvis denne kommando modtages, kopierer truslen metadata til oprettelse / skrivning / adgangstid fra en kildefil til en destinationsfil. Hvis en sådan kildefil ikke kan findes, vælges en tilfældig dato mellem 2000 og 2004 i stedet.

Filupload-kommandoen har også nogle interessante egenskaber. Trusselsaktøren kan vælge at exfiltrere valgte mapper rekursivt, mens de også filtrerer visse filtypenavne, enten kun uploader filer med den specifikke udvidelse eller ekskluderer dem fra processen. En bestemt kommando udpeget som 0x26 peger mod en ukendt komponent, som hidtil ikke er blevet observeret.

Lazarus-forbindelse

På trods af operationens ekstremt snævre rækkevidde placerer visse Vyveva-aspekter truslen som en del af de værktøjer, der anvendes af Lazarus APT. Bagdøren deler flere kodeligheder med ældre malware-trusler fra hacker-gruppen, såsom NukeSped- malware-familien. Desuden er visse kommandolinjekædekæder og brugeren af falske TLS i netværkskommunikationen også tidligere blevet observeret Lazarus-teknikker. Overlap kan også findes i implementeringen af Vyvedas krypterings- og Tor-tjenester.