YamaBot Malware

YamaBot Malware Penerangan

YamaBot Malware ialah ancaman menyakitkan yang dikaitkan dengan organisasi penjenayah siber APT (Advanced Persistent Threat) Korea Utara yang dikenali sebagai Kumpulan Lazarus . Ketegangan perisian hasad khusus ini ditulis dalam bahasa pengaturcaraan Go dan sasarannya kebanyakannya terletak di Jepun. Penjenayah siber telah mencipta versi YamaBot yang berbeza, bergantung pada sistem khusus yang ingin mereka wabak. Pada mulanya, YamaBot digunakan hanya terhadap pelayan OS Linux, tetapi versi yang lebih baharu yang mampu memberi kesan kepada peranti Windows OS telah ditemui.

Fungsi tepat YamaBot berbeza antara kedua-dua versi. Sebagai permulaan, maklumat awal tentang sistem yang dijangkiti yang dikumpul oleh perisian hasad termasuk nama hos, nama pengguna dan alamat MAC pada Windows dan hanya nama hos dan nama pengguna di Linux. Tambahan pula, versi Linux hanya boleh melaksanakan arahan shell melalui /bin/sh.

Walau bagaimanapun, pada Windows, YamaBot boleh mendapatkan senarai fail dan direktori, mengambil fail tambahan, mengubah suai masa tidur sistem, melaksanakan arahan shell dan memadamkan dirinya daripada mesin. Atas sebab yang tidak diketahui, penyerang telah mencipta ancaman YamaBot untuk mengembalikan hasil arahan yang dilaksanakan dalam bahasa Jerman juga. Bagi komunikasinya dengan pelayan Perintah-dan-Kawalan operasi yang mengancam (C2, C&C), ancaman itu menggunakan permintaan HTTP.