بدافزار YamaBot

بدافزار YamaBot یک تهدید مضر است که به سازمان مجرمان سایبری APT (تهدید پایدار پیشرفته) کره شمالی معروف به گروه لازاروس مرتبط است. این نوع بدافزار خاص به زبان برنامه نویسی Go نوشته شده است و اهداف آن عمدتاً در ژاپن قرار گرفته اند. مجرمان سایبری بسته به سیستم های خاصی که می خواهند آلوده کنند، نسخه های YamaBot مختلفی ایجاد کرده اند. در ابتدا، YamaBot فقط بر روی سرورهای سیستم عامل لینوکس استفاده می شد، اما نسخه جدیدتری که می تواند بر دستگاه های سیستم عامل ویندوز تأثیر بگذارد کشف شده است.

عملکرد دقیق YamaBot بین دو نسخه متفاوت است. برای شروع، اطلاعات اولیه در مورد سیستم آلوده جمع آوری شده توسط بدافزار شامل نام میزبان، نام کاربری و آدرس MAC در ویندوز و فقط نام میزبان و نام کاربری در لینوکس است. علاوه بر این، نسخه لینوکس فقط می تواند دستورات پوسته را از طریق /bin/sh اجرا کند.

با این حال، YamaBot در ویندوز می‌تواند فهرست فایل‌ها و دایرکتوری‌ها را دریافت کند، فایل‌های اضافی را واکشی کند، زمان خواب سیستم را تغییر دهد، دستورات پوسته را اجرا کند و خود را از دستگاه حذف کند. به دلایل نامعلوم، مهاجمان تهدید YamaBot را ایجاد کرده اند تا نتایج دستورات اجرا شده را به زبان آلمانی نیز بازگرداند. در مورد ارتباط آن با سرور فرماندهی و کنترل عملیات تهدید کننده (C2, C&C)، این تهدید از درخواست های HTTP استفاده می کند.