야마봇 악성코드
YamaBot Malware는 Lazarus Group 으로 알려진 북한의 APT(Advanced Persistent Threat) 사이버 범죄 조직과 연결되어 있는 해로운 위협입니다. 이 특정 맬웨어 변종은 Go 프로그래밍 언어로 작성되었으며 대상은 주로 일본에 있습니다. 사이버 범죄자들은 감염하려는 특정 시스템에 따라 다양한 YamaBot 버전을 만들었습니다. 처음에 YamaBot은 Linux OS 서버에 대해서만 활용되었지만 Windows OS 장치에 영향을 줄 수 있는 최신 버전이 발견되었습니다.
YamaBot의 정확한 기능은 두 버전 간에 다릅니다. 우선 악성코드가 수집한 감염된 시스템에 대한 초기 정보에는 Windows의 경우 호스트 이름, 사용자 이름 및 MAC 주소가 포함되고 Linux의 경우 호스트 이름과 사용자 이름만 포함됩니다. 또한 Linux 버전은 /bin/sh를 통해서만 셸 명령을 실행할 수 있습니다.
그러나 Windows에서 YamaBot은 파일 및 디렉토리 목록을 얻고, 추가 파일을 가져오고, 시스템의 절전 시간을 수정하고, 셸 명령을 실행하고, 시스템에서 자신을 삭제할 수 있습니다. 알 수 없는 이유로 공격자는 실행된 명령의 결과를 독일어로도 반환하는 YamaBot 위협을 만들었습니다. 위협작전의 지휘통제 서버(C2, C&C)와의 통신은 HTTP 요청을 활용한다.
