YamaBot-malware

YamaBot-malware Beschrijving

De YamaBot Malware is een schadelijke dreiging die wordt gelinkt aan de Noord-Koreaanse APT (Advanced Persistent Threat) cybercriminele organisatie die bekend staat als de Lazarus Group . Deze specifieke malwaresoort is geschreven in de Go-programmeertaal en de doelen zijn voornamelijk in Japan gevestigd. De cybercriminelen hebben verschillende YamaBot-versies gemaakt, afhankelijk van de specifieke systemen die ze willen infecteren. Aanvankelijk werd YamaBot alleen gebruikt tegen Linux OS-servers, maar er is een nieuwere versie ontdekt die invloed kan hebben op Windows OS-apparaten.

De exacte functionaliteit van YamaBot verschilt tussen de twee versies. Om te beginnen omvat de eerste informatie over het geïnfecteerde systeem die door de malware wordt verzameld hostnamen, gebruikersnamen en MAC-adressen op Windows en alleen hostnamen en gebruikersnamen op Linux. Verder kan de Linux-versie alleen shell-commando's uitvoeren via /bin/sh.

Op Windows kan YamaBot echter bestands- en directorylijsten verkrijgen, extra bestanden ophalen, de slaaptijd van het systeem wijzigen, shell-commando's uitvoeren en zichzelf van de machine verwijderen. Om onbekende redenen hebben de aanvallers de YamaBot-dreiging gecreëerd om de resultaten van uitgevoerde opdrachten ook in het Duits te retourneren. Wat betreft de communicatie met de Command-and-Control-server van de bedreigende operatie (C2, C&C), maakt de dreiging gebruik van HTTP-verzoeken.