Vyveva Backdoor Trojan

Ett tidigare okänt bakdörrtrojanhot med namnet Vyveva har upptäckts av cybersäkerhetsforskare. Hotet består av flera olika komponenter med endast tre som hittills har analyserats - installatören, lastaren och huvudnyttolasten. Vissa omständiga bevis pekar mot att Vyveva är en del av malware-arsenalen i gruppen Lazarus APT (Advanced Persistent Threat). Även om man tror att Vyveva Backdoor Trojan har använts sedan åtminstone 2018, har hittills bara två system som har smittats med det upptäckts. Båda de komprometterade enheterna tillhör ett godslogistikföretag från Sydafrika.

Vyvevas attackkedja

Den ursprungliga kompromissvektorn som användes i attacken har inte bekräftats men hotet levererades troligen genom en mycket riktad operation. Den tidigaste komponenten i attackkedjan som har upptäckts är installationsprogrammet för skadlig programvara, men det förväntar sig att vissa andra komponenter som redan finns i systemet tyder på att det finns en tidigare dropper. Installationsprogrammet har två huvuduppgifter - att fastställa uthållighetsmekanismen för bakdörrlastaren och bädda in standardbakdörrkonfigurationen i systemets register.

Den viktigaste hotande komponenten i Vyvevva är ansvarig för att ansluta till Command-and-Control (C2, C&C) -servrarna för operationen och utföra alla kommandon som tas emot från hotaktören. Vyveva kan känna igen totalt 23 kommandon, varav de flesta är relaterade till att manipulera filsystemet och bearbeta operationer eller samla in information. Det finns dock några kommandon som sticker ut. Till exempel kan Vyvevva tidstämpla filer. Om detta kommando tas emot kommer hotet att kopiera metadata för skapande / skriv / åtkomsttid från en källfil till en destinationsfil. Om en sådan källfil inte kan hittas väljs ett slumpmässigt datum mellan 2000 och 2004 istället.

Kommandot för filöverföring har också några intressanta egenskaper. Hotskådespelaren kan välja att exfiltrera utvalda kataloger rekursivt samtidigt som vissa filtillägg filtreras, antingen bara ladda upp filer med det specifika tillägget eller utesluta dem från processen. Ett visst kommando betecknat som 0x26 pekar mot en okänd komponent som hittills inte har observerats.

Lazarus-anslutning

Trots operationens extremt snäva omfattning placerar vissa Vyveva-aspekter hotet som en del av de verktyg som används av Lazarus APT. Bakdörren delar flera kodlikheter med äldre skadliga hot från hackargruppen, såsom NukeSped- skadlig programvarufamilj. Dessutom har vissa kommandoradsutförandekedjor och användaren av falska TLS i nätverkskommunikationen också tidigare observerats Lazarus-tekniker. Överlappningar finns också i implementeringen av Vyvedas kryptering- och Tor-tjänster.