Zlonamjerni softver YamaBot

Malware YamaBot je opasna prijetnja koja se povezuje sa sjevernokorejskom APT (Advanced Persistent Threat) kibernetičkom kriminalnom organizacijom poznatom kao Lazarus Group . Ova vrsta zlonamjernog softvera napisana je u programskom jeziku Go i njegove su mete primarno locirane u Japanu. Cyberkriminalci su kreirali različite verzije YamaBot-a, ovisno o specifičnim sustavima koje žele zaraziti. U početku je YamaBot bio korišten samo protiv Linux OS poslužitelja, no otkrivena je novija verzija koja može utjecati na Windows OS uređaje.

Točna funkcionalnost YamaBota razlikuje se između dvije verzije. Za početak, početne informacije o zaraženom sustavu koje je prikupio zlonamjerni softver uključuju imena hostova, korisnička imena i MAC adrese na Windowsima i samo imena hostova i korisnička imena na Linuxu. Nadalje, verzija Linuxa može izvršavati naredbe ljuske samo preko /bin/sh.

Međutim, u sustavu Windows, YamaBot može dobiti popise datoteka i direktorija, dohvatiti dodatne datoteke, modificirati vrijeme mirovanja sustava, izvršiti naredbe ljuske i izbrisati se sa stroja. Iz nepoznatih razloga, napadači su kreirali YamaBot prijetnju koja vraća rezultate izvršenih naredbi i na njemačkom jeziku. Što se tiče komunikacije s poslužiteljem za upravljanje i kontrolu (C2, C&C) prijeteće operacije, prijetnja koristi HTTP zahtjeve.