Zlonamerna programska oprema YamaBot

Zlonamerna programska oprema YamaBot Opis

Zlonamerna programska oprema YamaBot je škodljiva grožnja, ki jo povezujejo s severnokorejsko kiberkriminalno organizacijo APT (Advanced Persistent Threat), znano kot Lazarus Group . Ta vrsta zlonamerne programske opreme je napisana v programskem jeziku Go, njeni cilji pa so bili predvsem na Japonskem. Kibernetski kriminalci so ustvarili različne različice YamaBot, odvisno od specifičnih sistemov, ki jih želijo okužiti. Sprva je bil YamaBot uporabljen le proti strežnikom OS Linux, vendar je bila odkrita novejša različica, ki lahko vpliva na naprave OS Windows.

Natančna funkcionalnost YamaBot se med obema različicama razlikuje. Za začetek, začetne informacije o okuženem sistemu, ki jih zbere zlonamerna programska oprema, vključujejo imena gostiteljev, uporabniška imena in naslove MAC v sistemu Windows ter samo imena gostiteljev in uporabniška imena v sistemu Linux. Poleg tega lahko različica Linuxa izvaja ukaze lupine samo prek /bin/sh.

Vendar pa lahko YamaBot v sistemu Windows pridobi sezname datotek in imenikov, pridobi dodatne datoteke, spremeni čas mirovanja sistema, izvede ukaze lupine in se izbriše iz računalnika. Iz neznanih razlogov so napadalci ustvarili grožnjo YamaBot, ki rezultate izvedenih ukazov vrača tudi v nemščini. Kar zadeva komunikacijo s strežnikom za ukazovanje in nadzor (C2, C&C) grozeče operacije, grožnja uporablja zahteve HTTP.