YamaBot haittaohjelma

YamaBot haittaohjelma Kuvaus

YamaBot-haittaohjelma on vahingollinen uhka, joka on yhdistetty pohjoiskorealaiseen APT (Advanced Persistent Threat) kyberrikollisjärjestöön, joka tunnetaan nimellä Lazarus Group . Tämä haittaohjelmakanta on kirjoitettu Go-ohjelmointikielellä ja sen kohteet ovat olleet ensisijaisesti Japanissa. Kyberrikolliset ovat luoneet erilaisia YamaBot-versioita riippuen järjestelmistä, joihin he haluavat tartuttaa. Alun perin YamaBotia hyödynnettiin vain Linux-käyttöjärjestelmäpalvelimia vastaan, mutta uudempi versio, joka pystyy vaikuttamaan Windows-käyttöjärjestelmän laitteisiin, on paljastettu.

YamaBotin tarkka toiminnallisuus vaihtelee näiden kahden version välillä. Ensinnäkin haittaohjelman keräämät alustavat tiedot tartunnan saaneesta järjestelmästä sisältävät isäntänimiä, käyttäjänimiä ja MAC-osoitteita Windowsissa ja vain isäntänimiä ja käyttäjänimiä Linuxissa. Lisäksi Linux-versio voi suorittaa komentotulkkikomentoja vain /bin/sh:n kautta.

Windowsissa YamaBot voi kuitenkin hankkia tiedosto- ja hakemistoluetteloita, hakea lisätiedostoja, muokata järjestelmän lepotilaa, suorittaa komentotulkkikomentoja ja poistaa itsensä koneesta. Tuntemattomista syistä hyökkääjät ovat luoneet YamaBot-uhan palauttaakseen suoritettujen komentojen tulokset myös saksaksi. Mitä tulee tietoliikenteeseensä uhkaavan operaation Command-and-Control-palvelimen (C2, C&C) kanssa, uhka käyttää HTTP-pyyntöjä.