Malware YamaBot

Malware YamaBot Descrizione

Il malware YamaBot è una minaccia dannosa collegata all'organizzazione di criminali informatici APT (Advanced Persistent Threat) nordcoreana nota come Lazarus Group . Questo particolare ceppo di malware è scritto nel linguaggio di programmazione Go e i suoi obiettivi sono stati localizzati principalmente in Giappone. I criminali informatici hanno creato diverse versioni di YamaBot, a seconda dei sistemi specifici che vogliono infettare. Inizialmente, YamaBot veniva sfruttato solo sui server del sistema operativo Linux, ma è stata scoperta una versione più recente in grado di influire sui dispositivi del sistema operativo Windows.

L'esatta funzionalità di YamaBot differisce tra le due versioni. Per cominciare, le informazioni iniziali sul sistema infetto raccolte dal malware includono nomi host, nomi utente e indirizzi MAC su Windows e solo nomi host e nomi utente su Linux. Inoltre, la versione Linux può eseguire solo comandi shell tramite /bin/sh.

Tuttavia, su Windows, YamaBot può ottenere elenchi di file e directory, recuperare file aggiuntivi, modificare il tempo di sospensione del sistema, eseguire comandi della shell ed eliminarsi dalla macchina. Per ragioni sconosciute, gli aggressori hanno creato la minaccia YamaBot per restituire i risultati dei comandi eseguiti anche in tedesco. Per quanto riguarda la comunicazione con il server Command-and-Control (C2, C&C) dell'operazione minacciosa, la minaccia utilizza le richieste HTTP.