תוכנות זדוניות של YamaBot

תוכנות זדוניות של YamaBot תיאור

תוכנת ה-YamaBot Malware היא איום פוגע המקושר לארגון פושעי הסייבר APT (Advanced Persistent Threat) הצפון קוריאני הידוע בשם Lazarus Group . זן התוכנה המסוים הזה כתוב בשפת התכנות Go והמטרות שלו אותרו בעיקר ביפן. פושעי הסייבר יצרו גרסאות שונות של YamaBot, בהתאם למערכות הספציפיות שהם רוצים להדביק. בתחילה, YamaBot מופעל רק נגד שרתי מערכת ההפעלה לינוקס, אך נחשפה גרסה חדשה יותר המסוגלת להשפיע על התקני מערכת ההפעלה של Windows.

הפונקציונליות המדויקת של YamaBot שונה בין שתי הגרסאות. בתור התחלה, המידע הראשוני על המערכת הנגועה שנאסף על ידי התוכנה הזדונית כולל שמות מארחים, שמות משתמש וכתובות MAC ב-Windows ורק שמות מארחים ושמות משתמש בלינוקס. יתר על כן, גרסת לינוקס יכולה לבצע פקודות מעטפת רק באמצעות /bin/sh.

עם זאת, ב-Windows, YamaBot יכול להשיג רשימות קבצים וספריות, להביא קבצים נוספים, לשנות את זמן השינה של המערכת, לבצע פקודות מעטפת ולמחוק את עצמו מהמכונה. מסיבות לא ידועות, התוקפים יצרו את איום YamaBot כדי להחזיר את תוצאות הפקודות שבוצעו גם בגרמנית. באשר לתקשורת שלו עם שרת הפקודה והבקרה של הפעולה המאימת (C2, C&C), האיום משתמש בבקשות HTTP.