Вредоносное ПО YamaBot

Вредоносная программа YamaBot представляет собой вредоносную угрозу, которая связана с северокорейской киберпреступной организацией APT (Advanced Persistent Threat), известной как Lazarus Group . Этот конкретный штамм вредоносного ПО написан на языке программирования Go, и его цели в основном находятся в Японии. Киберпреступники создали разные версии YamaBot в зависимости от конкретных систем, которые они хотят заразить. Первоначально YamaBot использовался только против серверов с ОС Linux, но была обнаружена более новая версия, способная воздействовать на устройства с ОС Windows.

Точная функциональность YamaBot различается между двумя версиями. Во-первых, исходная информация о зараженной системе, собранная вредоносным ПО, включает имена хостов, имена пользователей и MAC-адреса в Windows и только имена хостов и пользователей в Linux. Кроме того, версия для Linux может выполнять команды оболочки только через /bin/sh.

Однако в Windows YamaBot может получать списки файлов и каталогов, извлекать дополнительные файлы, изменять время сна системы, выполнять команды оболочки и удалять себя с машины. По неизвестным причинам злоумышленники создали угрозу YamaBot, которая также возвращает результаты выполненных команд на немецком языке. Что касается связи с сервером управления и контроля угрожающей операции (C2, C&C), угроза использует HTTP-запросы.