YamaBot Malware

YamaBot Malware Leírás

A YamaBot Malware egy bántó fenyegetés, amelyet az észak-koreai APT (Advanced Persistent Threat) kiberbűnöző szervezethez, a Lazarus Group kapcsolnak. Ez a bizonyos rosszindulatú programtörzs Go programozási nyelven íródott, és célpontjai elsősorban Japánban voltak. A kiberbűnözők különböző YamaBot-verziókat készítettek, attól függően, hogy milyen rendszereket akarnak megfertőzni. Kezdetben a YamaBot csak a Linux operációs rendszer kiszolgálói ellen irányult, de feltártak egy újabb verziót, amely képes befolyásolni a Windows operációs rendszerű eszközöket.

A YamaBot pontos funkcionalitása eltér a két verzió között. Kezdetben a rosszindulatú program által a fertőzött rendszerről összegyűjtött kezdeti információk tartalmazzák a gazdagépneveket, a felhasználóneveket és a MAC-címeket Windowson, és csak a gazdagépneveket és felhasználóneveket Linuxon. Ezenkívül a Linux-verzió csak a /bin/sh-n keresztül tud shell-parancsokat végrehajtani.

Windows rendszeren azonban a YamaBot fájl- és könyvtárlistákat szerezhet be, további fájlokat tud lekérni, módosítani tudja a rendszer alvó idejét, végrehajthat shell-parancsokat és törölheti magát a gépről. Ismeretlen okokból a támadók létrehozták a YamaBot fenyegetést, hogy a végrehajtott parancsok eredményeit német nyelven is visszaadják. Ami a fenyegető művelet Command-and-Control szerverével (C2, C&C) való kommunikációt illeti, a fenyegetés HTTP kéréseket használ.