Vyveva Backdoor Trojan

Uma ameaça de Trojan backdoor, anteriormente desconhecida, chamada Vyveva, foi descoberta pelos pesquisadores de segurança cibernética. A ameaça é composta por vários componentes diferentes, com apenas três sendo analisados até agora - o instalador, o carregador e a carga útil principal. Certas evidências circunstanciais apontam que o Vyveva faz parte do arsenal de malware do grupo Lazarus APT (Advanced Persistent Threat). Embora se acredite que o Trojan Vyveva Backdoor seja usado desde pelo menos 2018, até agora apenas dois sistemas infectados por ele foram detectados. Ambos os dispositivos comprometidos pertencem a uma empresa de logística de carga da África do Sul.

A Cadeia de Ataque do Vyveva

O vetor de comprometimento inicial usado no ataque não foi confirmado, mas a ameaça provavelmente foi entregue por meio de uma operação altamente direcionada. O primeiro componente descoberto na cadeia de ataques é o instalador do malware, mas ele espera encontrar alguns outros componentes já presentes no sistema, sugerindo que existe um dropper de estágio anterior. O instalador tem duas tarefas principais - estabelecer o mecanismo de persistência para o carregador de backdoor e incorporar a configuração de backdoor padrão no registro do sistema.

O principal componente ameaçador do Vyvevva é responsável por se conectar aos servidores de Comando e Controle (C2, C&C) da operação e executar todos os comandos recebidos do autor da ameaça. O Vyveva pode reconhecer um total de 23 comandos com a maioria deles relacionados à manipulação do sistema de arquivos e operações de processo ou coleta de informações. No entanto, existem alguns comandos que se destacam. Por exemplo, Vyvevva é capaz de registrar a data e hora do arquivo. Se este comando for recebido, a ameaça copiará os metadados do tempo de criação/gravação/acesso de um arquivo de origem para um arquivo de destino. Se esse arquivo de origem não puder ser encontrado, uma data aleatória entre 2000 e 2004 será escolhida.

O comando de upload de arquivo também possui algumas características interessantes. O autor da ameaça pode escolher exfiltrar diretórios selecionados recursivamente, enquanto também filtra certas extensões de arquivo, fazendo o upload apenas de arquivos com a extensão específica ou excluindo-os do processo. Um comando específico designado como 0x26 aponta para um componente desconhecido que até agora não foi observado.

 A Conecção com o Lazarus

Apesar do escopo extremamente estreito da operação, certos aspectos de Vyveva colocam a ameaça como parte das ferramentas empregadas pelo Lazarus APT. O backdoor compartilha várias semelhanças de código com ameaças de malware mais antigas do grupo de hackers, como a família de malware NukeSped. Além disso, certas cadeias de execução de linha de comando e o usuário de TLS falso na comunicação de rede também foram observados anteriormente nas técnicas do Lazarus. Sobreposições também podem ser encontradas na implementação da criptografia do Vyveda e dos serviços Tor.