Trojan backdoor Vyveva

Una minaccia trojan backdoor precedentemente sconosciuta chiamata Vyveva è stata scoperta dai ricercatori della sicurezza informatica. La minaccia è composta da più componenti diversi, di cui solo tre sono stati analizzati finora: il programma di installazione, il caricatore e il carico utile principale. Alcune prove circostanziali indicano che Vyveva fa parte dell'arsenale di malware del gruppo Lazarus APT (Advanced Persistent Threat). Sebbene si ritenga che il Trojan Vyveva Backdoor sia stato utilizzato almeno dal 2018, finora sono stati rilevati solo due sistemi infettati da esso. Entrambi i dispositivi compromessi appartengono a una società di logistica merci del Sud Africa.

Catena di attacchi di Vyveva

Il vettore di compromissione iniziale utilizzato nell'attacco non è stato confermato, ma molto probabilmente la minaccia è stata trasmessa tramite un'operazione altamente mirata. Il primo componente nella catena di attacchi che è stato scoperto è il programma di installazione del malware, ma si aspetta di trovare alcuni altri componenti già presenti nel sistema, suggerendo che esiste un dropper in una fase precedente. Il programma di installazione ha due attività principali: stabilire il meccanismo di persistenza per il caricatore backdoor e incorporare la configurazione backdoor predefinita nel registro di sistema.

Il principale componente minaccioso di Vyvevva è responsabile della connessione ai server Command-and-Control (C2, C&C) dell'operazione e dell'esecuzione di tutti i comandi ricevuti dall'attore della minaccia. Vyveva è in grado di riconoscere un totale di 23 comandi, la maggior parte dei quali è correlata alla manipolazione del file system e alle operazioni di elaborazione o alla raccolta di informazioni. Tuttavia, ci sono alcuni comandi che si distinguono. Ad esempio, Vyvevva è in grado di eseguire il timestamp dei file. Se viene ricevuto questo comando, la minaccia copierà i metadati di creazione / scrittura / tempo di accesso da un file di origine a un file di destinazione. Se non è possibile trovare un file di origine di questo tipo, verrà scelta una data casuale tra il 2000 e il 2004.

Anche il comando di caricamento dei file ha alcune caratteristiche interessanti. L'attore della minaccia può scegliere di esfiltrare le directory selezionate in modo ricorsivo, filtrando anche determinate estensioni di file, caricando solo i file con l'estensione specifica o escludendoli dal processo. Un particolare comando designato come 0x26 punta verso un componente sconosciuto che finora non è stato osservato.

Lazarus Connection

Nonostante l'ambito estremamente ristretto dell'operazione, alcuni aspetti di Vyveva collocano la minaccia come parte degli strumenti impiegati dall'APT Lazarus. La backdoor condivide più somiglianze di codice con le minacce malware precedenti del gruppo di hacker come la famiglia di malware NukeSped. Inoltre, alcune catene di esecuzione della riga di comando e l'utente di falsi TLS nella comunicazione di rete sono state anche precedentemente osservate con le tecniche di Lazarus. Si possono trovare sovrapposizioni anche nell'implementazione della crittografia di Vyveda e dei servizi Tor.