Vyveva Backdoor Trojan

Een voorheen onbekende trojan-dreiging genaamd Vyveva is ontdekt door cybersecurity-onderzoekers. De dreiging bestaat uit meerdere verschillende componenten, waarvan er tot nu toe slechts drie zijn geanalyseerd: het installatieprogramma, de lader en de belangrijkste payload. Bepaalde indirecte bewijzen wijzen erop dat Vyveva deel uitmaakt van het malware-arsenaal van de Lazarus APT-groep (Advanced Persistent Threat). Hoewel wordt aangenomen dat de Vyveva Backdoor Trojan al sinds 2018 wordt gebruikt, zijn tot dusver slechts twee systemen die ermee geïnfecteerd zijn, gedetecteerd. Beide gecompromitteerde apparaten zijn eigendom van een vrachtlogistiekbedrijf uit Zuid-Afrika.

Vyveva's aanvalsketen

De aanvankelijke compromisvector die bij de aanval werd gebruikt, is niet bevestigd, maar de dreiging is hoogstwaarschijnlijk afgeleverd via een zeer gerichte operatie. Het vroegste onderdeel in de aanvalsketen dat is ontdekt, is het installatieprogramma van de malware, maar het verwacht dat bepaalde andere componenten al op het systeem aanwezig zijn, wat suggereert dat er een dropper in een eerdere fase bestaat. Het installatieprogramma heeft twee hoofdtaken: het opzetten van het persistentiemechanisme voor de achterdeurlader en het inbedden van de standaard achterdeurconfiguratie in het register van het systeem.

De belangrijkste bedreigende component van Vyvevva is verantwoordelijk voor het verbinden met de Command-and-Control-servers (C2, C&C) van de operatie en het uitvoeren van alle opdrachten die zijn ontvangen van de bedreigingsactor. Vyveva kan in totaal 23 commando's herkennen, waarvan de meeste verband houden met het manipuleren van het bestandssysteem en het verwerken van bewerkingen of het verzamelen van informatie. Er zijn echter enkele commando's die opvallen. Vyvevva is bijvoorbeeld in staat om tijdstempels aan bestanden toe te voegen. Als dit commando wordt ontvangen, kopieert de dreiging de metagegevens van de creatie / schrijf / toegangstijd van een bronbestand naar een doelbestand. Als zo'n bronbestand niet kan worden gevonden, wordt in plaats daarvan een willekeurige datum tussen 2000 en 2004 gekozen.

De opdracht voor het uploaden van bestanden heeft ook enkele interessante kenmerken. De bedreigingsacteur kan ervoor kiezen om geselecteerde mappen recursief te exfiltreren en tegelijkertijd bepaalde bestandsextensies te filteren, door alleen bestanden met de specifieke extensie te uploaden of ze uit te sluiten van het proces. Een bepaald commando aangeduid als 0x26 verwijst naar een onbekend onderdeel dat tot dusver niet is waargenomen.

Lazarus-verbinding

Ondanks de extreem beperkte reikwijdte van de operatie, plaatsen bepaalde Vyveva-aspecten de dreiging als onderdeel van de instrumenten die door de Lazarus APT worden gebruikt. De achterdeur deelt meerdere code-overeenkomsten met oudere malwarebedreigingen van de hackergroep, zoals de NukeSped-malwarefamilie . Bovendien zijn bepaalde uitvoeringsketens van de opdrachtregel en de gebruiker van nep-TLS in de netwerkcommunicatie ook eerder waargenomen met Lazarus-technieken. Overlappingen zijn ook te vinden in de implementatie van Vyveda's codering en Tor-services.