Vyveva Backdoor Trojan

Badacze cyberbezpieczeństwa wykryli nieznane wcześniej zagrożenie trojańskie typu backdoor o nazwie Vyveva. Zagrożenie składa się z wielu różnych komponentów, z których jak dotąd analizowane są tylko trzy - instalator, program ładujący i główny ładunek. Pewne poszlaki wskazują na to, że Vyveva jest częścią arsenału szkodliwego oprogramowania grupy Lazarus APT (Advanced Persistent Threat). Chociaż uważa się, że trojan Vyveva Backdoor był używany co najmniej od 2018 r., Jak dotąd wykryto tylko dwa zainfekowane nim systemy. Oba zhakowane urządzenia należą do firmy logistycznej z Republiki Południowej Afryki.

Łańcuch ataku Vyvevy

Początkowy wektor kompromisu użyty w ataku nie został potwierdzony, ale zagrożenie zostało najprawdopodobniej dostarczone przez wysoce ukierunkowaną operację. Najwcześniejszym wykrytym komponentem w łańcuchu ataków jest instalator złośliwego oprogramowania, ale spodziewa się on znaleźć pewne inne komponenty już obecne w systemie, co sugeruje, że istnieje wcześniejszy dropper. Instalator ma dwa główne zadania - ustanowienie mechanizmu trwałości dla modułu ładującego backdoora i osadzenie domyślnej konfiguracji backdoora w rejestrze systemu.

Główny komponent zagrażający Vyvevva jest odpowiedzialny za łączenie się z serwerami Command-and-Control (C2, C&C) operacji i wykonywanie wszelkich poleceń otrzymanych od aktora zagrożenia. Vyveva może rozpoznać łącznie 23 polecenia, z których większość dotyczy manipulowania systemem plików i operacji przetwarzania lub gromadzenia informacji. Jednak jest kilka poleceń, które się wyróżniają. Na przykład Vyvevva może umieszczać znaczniki czasu w plikach. Jeśli to polecenie zostanie odebrane, zagrożenie skopiuje metadane czasu utworzenia / zapisu / dostępu z pliku źródłowego do pliku docelowego. Jeśli nie można znaleźć takiego pliku źródłowego, zamiast tego zostanie wybrana losowa data między 2000 a 2004 rokiem.

Polecenie przesyłania plików ma również kilka interesujących cech. Osoba atakująca zagrożenie może zdecydować się na rekursywną eksfiltrację wybranych katalogów, jednocześnie filtrując niektóre rozszerzenia plików, przesyłając tylko pliki z określonym rozszerzeniem lub wykluczając je z procesu. Konkretne polecenie oznaczone jako 0x26 wskazuje na nieznany komponent, który do tej pory nie był obserwowany.

Połączenie Łazarza

Pomimo niezwykle wąskiego zakresu operacji, niektóre aspekty Vyveva stawiają zagrożenie w ramach narzędzi stosowanych przez APT Lazarus. Backdoor ma wiele podobieństw w kodzie ze starszymi zagrożeniami ze strony hakerów, takimi jak rodzina złośliwego oprogramowania NukeSped. Co więcej, niektóre łańcuchy wykonywania wiersza poleceń i użytkownik fałszywego TLS w komunikacji sieciowej również byli wcześniej obserwowani w technikach Lazarusa. Nakładanie się można również znaleźć w implementacji szyfrowania Vyveda i usług Tor.