Škodlivý softvér YamaBot

Škodlivý softvér YamaBot Popis

Malvér YamaBot je škodlivá hrozba, ktorá je spojená so severokórejskou organizáciou kyberzločincov APT (Advanced Persistent Threat) známou ako Lazarus Group . Tento konkrétny kmeň malvéru je napísaný v programovacom jazyku Go a jeho ciele boli primárne lokalizované v Japonsku. Kyberzločinci vytvorili rôzne verzie YamaBot v závislosti od konkrétnych systémov, ktoré chcú infikovať. Spočiatku bol YamaBot využívaný iba proti serverom s operačným systémom Linux, ale bola odhalená novšia verzia, ktorá dokáže ovplyvniť zariadenia s OS Windows.

Presná funkčnosť YamaBot sa medzi týmito dvoma verziami líši. Pre začiatok, počiatočné informácie o infikovanom systéme zhromaždené malvérom zahŕňajú názvy hostiteľov, používateľské mená a adresy MAC v systéme Windows a iba názvy hostiteľov a používateľské mená v systéme Linux. Okrem toho, verzia pre Linux môže vykonávať príkazy shellu iba cez /bin/sh.

V systéme Windows však môže YamaBot získať zoznamy súborov a adresárov, načítať ďalšie súbory, upraviť čas spánku systému, vykonávať príkazy shellu a vymazať sa zo stroja. Z neznámych dôvodov útočníci vytvorili hrozbu YamaBot, aby vrátili výsledky vykonaných príkazov aj v nemčine. Pokiaľ ide o komunikáciu so serverom Command-and-Control (C2, C&C) hroziacej operácie, hrozba využíva HTTP požiadavky.