Κακόβουλο λογισμικό YamaBot

Κακόβουλο λογισμικό YamaBot Περιγραφή

Το κακόβουλο λογισμικό YamaBot είναι μια επιβλαβής απειλή που συνδέεται με την κυβερνοεγκληματική οργάνωση της Βόρειας Κορέας APT (Advanced Persistent Threat) γνωστή ως ομάδα Lazarus . Αυτό το συγκεκριμένο είδος κακόβουλου λογισμικού είναι γραμμένο στη γλώσσα προγραμματισμού Go και οι στόχοι του έχουν εντοπιστεί κυρίως στην Ιαπωνία. Οι κυβερνοεγκληματίες έχουν δημιουργήσει διαφορετικές εκδόσεις YamaBot, ανάλογα με τα συγκεκριμένα συστήματα που θέλουν να μολύνουν. Αρχικά, το YamaBot χρησιμοποιήθηκε μόνο έναντι διακομιστών λειτουργικού συστήματος Linux, αλλά αποκαλύφθηκε μια νεότερη έκδοση που μπορεί να επηρεάσει τις συσκευές με λειτουργικό σύστημα Windows.

Η ακριβής λειτουργικότητα του YamaBot διαφέρει μεταξύ των δύο εκδόσεων. Για αρχή, οι αρχικές πληροφορίες σχετικά με το μολυσμένο σύστημα που συγκεντρώθηκαν από το κακόβουλο λογισμικό περιλαμβάνουν ονόματα κεντρικών υπολογιστών, ονόματα χρήστη και διευθύνσεις MAC στα Windows και μόνο ονόματα κεντρικών υπολογιστών και ονόματα χρήστη στο Linux. Επιπλέον, η έκδοση Linux μπορεί να εκτελέσει εντολές φλοιού μόνο μέσω /bin/sh.

Ωστόσο, στα Windows, το YamaBot μπορεί να αποκτήσει λίστες αρχείων και καταλόγων, να ανακτήσει πρόσθετα αρχεία, να τροποποιήσει τον χρόνο ύπνου του συστήματος, να εκτελέσει εντολές φλοιού και να διαγραφεί από το μηχάνημα. Για άγνωστους λόγους, οι εισβολείς δημιούργησαν την απειλή YamaBot για να επιστρέψουν τα αποτελέσματα των εκτελεσμένων εντολών και στα γερμανικά. Όσον αφορά την επικοινωνία της με τον διακομιστή Command-and-Control (C2, C&C) της απειλητικής λειτουργίας, η απειλή χρησιμοποιεί αιτήματα HTTP.