Złośliwe oprogramowanie YamaBota

Malware YamaBot jest szkodliwym zagrożeniem powiązanym z północnokoreańską organizacją cyberprzestępczą APT (Advanced Persistent Threat) znaną jako Lazarus Group . Ten szczególny szczep złośliwego oprogramowania został napisany w języku programowania Go, a jego cele zostały zlokalizowane głównie w Japonii. Cyberprzestępcy stworzyli różne wersje YamaBota, w zależności od konkretnych systemów, które chcą zainfekować. Początkowo YamaBot był wykorzystywany tylko na serwerach z systemem operacyjnym Linux, ale odkryto nowszą wersję, która może wpływać na urządzenia z systemem operacyjnym Windows.

Dokładna funkcjonalność YamaBot różni się w obu wersjach. Na początek, początkowe informacje o zainfekowanym systemie zebrane przez złośliwe oprogramowanie obejmują nazwy hostów, nazwy użytkowników i adresy MAC w systemie Windows oraz tylko nazwy hostów i nazwy użytkowników w systemie Linux. Co więcej, wersja Linux może wykonywać tylko polecenia powłoki poprzez /bin/sh.

Jednak w systemie Windows YamaBot może uzyskiwać listy plików i katalogów, pobierać dodatkowe pliki, modyfikować czas uśpienia systemu, wykonywać polecenia powłoki i usuwać się z komputera. Z nieznanych powodów atakujący stworzyli zagrożenie YamaBot, aby zwracać wyniki wykonanych poleceń również w języku niemieckim. Jeśli chodzi o komunikację z serwerem Command-and-Control (C2, C&C) zagrażającej operacji, zagrożenie to wykorzystuje żądania HTTP.