YamaBoti pahavara

YamaBoti pahavara Kirjeldus

YamaBoti pahavara on haavav oht, mida seostatakse Põhja-Korea küberkuritegeliku organisatsiooniga APT (Advanced Persistent Threat), mida tuntakse Lazarus Groupi nime all. See konkreetne pahavara tüvi on kirjutatud Go programmeerimiskeeles ja selle sihtmärgid on olnud peamiselt Jaapanis. Küberkurjategijad on loonud erinevaid YamaBoti versioone, olenevalt konkreetsetest süsteemidest, mida nad soovivad nakatada. Algselt kasutati YamaBot ainult Linuxi OS-i serverite vastu, kuid avastati uuem versioon, mis on võimeline Windows OS-i seadmeid mõjutama.

YamaBoti täpne funktsionaalsus on kahe versiooni vahel erinev. Alustuseks sisaldab pahavara kogutud esialgne teave nakatunud süsteemi kohta Windowsi hostinimesid, kasutajanimesid ja MAC-aadresse ning Linuxis ainult hostinimesid ja kasutajanimesid. Lisaks saab Linuxi versioon täita shellikäske ainult /bin/sh kaudu.

Kuid Windowsis saab YamaBot hankida failide ja kataloogide loendeid, tuua lisafaile, muuta süsteemi puhkeaega, täita shellikäske ja end masinast kustutada. Teadmata põhjustel on ründajad loonud YamaBoti ohu, et tagastada täidetud käskude tulemused ka saksa keeles. Mis puutub suhtlemisse ähvardava operatsiooni käsu-ja juhtimisserveriga (C2, C&C), siis kasutab oht HTTP-päringuid.