Malware YamaBot

YamaBot Malware este o amenințare dăunătoare care este legată de organizația criminală cibernetică APT (Advanced Persistent Threat) din Coreea de Nord, cunoscută sub numele de Lazarus Group . Această tulpină specială de malware este scrisă în limbajul de programare Go, iar țintele sale au fost localizate în principal în Japonia. Infractorii cibernetici au creat diferite versiuni YamaBot, în funcție de sistemele specifice pe care doresc să le infecteze. Inițial, YamaBot a fost folosit doar împotriva serverelor cu sistem de operare Linux, dar a fost descoperită o versiune mai nouă, capabilă să afecteze dispozitivele cu sistemul de operare Windows.

Funcționalitatea exactă a lui YamaBot diferă între cele două versiuni. Pentru început, informațiile inițiale despre sistemul infectat colectate de malware includ nume de gazdă, nume de utilizator și adrese MAC pe Windows și numai nume de gazdă și nume de utilizator pe Linux. În plus, versiunea Linux poate executa numai comenzi shell prin /bin/sh.

Cu toate acestea, pe Windows, YamaBot poate obține liste de fișiere și directoare, poate prelua fișiere suplimentare, poate modifica timpul de repaus al sistemului, poate executa comenzi shell și se poate șterge singur din mașină. Din motive necunoscute, atacatorii au creat amenințarea YamaBot pentru a returna rezultatele comenzilor executate și în germană. În ceea ce privește comunicarea cu serverul de comandă și control al operațiunii amenințătoare (C2, C&C), amenințarea utilizează solicitări HTTP.