YamaBot skadelig programvare

YamaBot Malware er en sårende trussel som blir knyttet til den nordkoreanske APT (Advanced Persistent Threat) nettkriminelle organisasjon kjent som Lazarus Group . Denne spesielle malware-stammen er skrevet i programmeringsspråket Go, og målene har hovedsakelig vært lokalisert i Japan. De nettkriminelle har laget forskjellige YamaBot-versjoner, avhengig av de spesifikke systemene de ønsker å infisere. Opprinnelig ble YamaBot kun utnyttet mot Linux OS-servere, men en nyere versjon som kan påvirke Windows OS-enheter har blitt avdekket.

Den nøyaktige funksjonaliteten til YamaBot er forskjellig mellom de to versjonene. For det første inkluderer den første informasjonen om det infiserte systemet samlet av skadelig programvare vertsnavn, brukernavn og MAC-adresser på Windows og bare vertsnavn og brukernavn på Linux. Videre kan Linux-versjonen bare utføre skallkommandoer via /bin/sh.

På Windows kan imidlertid YamaBot hente fil- og kataloglister, hente flere filer, endre systemets hviletid, utføre skallkommandoer og slette seg selv fra maskinen. Av ukjente grunner har angriperne opprettet YamaBot-trusselen for å returnere resultatene av utførte kommandoer på tysk også. Når det gjelder kommunikasjonen med den truende operasjonens Command-and-Control-server (C2, C&C), bruker trusselen HTTP-forespørsler.