YamaBot Malware

YamaBot Malware Beskrivelse

YamaBot-malwaren er en sårende trussel, der er forbundet med den nordkoreanske APT (Advanced Persistent Threat) cyberkriminelle organisation kendt som Lazarus Group . Denne særlige malware-stamme er skrevet i programmeringssproget Go, og dens mål er primært blevet lokaliseret i Japan. De cyberkriminelle har lavet forskellige YamaBot-versioner, afhængigt af de specifikke systemer, de ønsker at inficere. Oprindeligt blev YamaBot kun udnyttet mod Linux OS-servere, men en nyere version, der er i stand til at påvirke Windows OS-enheder, er blevet afsløret.

Den nøjagtige funktionalitet af YamaBot er forskellig mellem de to versioner. Til at begynde med inkluderer de indledende oplysninger om det inficerede system indsamlet af malware værtsnavne, brugernavne og MAC-adresser på Windows og kun værtsnavne og brugernavne på Linux. Desuden kan Linux-versionen kun udføre shell-kommandoer via /bin/sh.

På Windows kan YamaBot dog hente fil- og mappelister, hente yderligere filer, ændre systemets dvaletid, udføre shell-kommandoer og slette sig selv fra maskinen. Af ukendte årsager har angriberne skabt YamaBot-truslen for også at returnere resultaterne af udførte kommandoer på tysk. Hvad angår dens kommunikation med den truende operations Command-and-Control-server (C2, C&C), bruger truslen HTTP-anmodninger.