มัลแวร์ YamaBot

มัลแวร์ YamaBot คำอธิบาย

มัลแวร์ YamaBot เป็นภัยคุกคามที่เป็นอันตรายซึ่งเชื่อมโยงกับองค์กรอาชญากรไซเบอร์ APT ของเกาหลีเหนือ (Advanced Persistent Threat) ที่รู้จักกันในชื่อ Lazarus Group มัลแวร์สายพันธุ์นี้เขียนด้วยภาษาโปรแกรม Go และเป้าหมายส่วนใหญ่อยู่ที่ญี่ปุ่น อาชญากรไซเบอร์ได้สร้าง YamaBot เวอร์ชันต่างๆ ขึ้น ขึ้นอยู่กับระบบเฉพาะที่พวกเขาต้องการแพร่ระบาด เริ่มแรก YamaBot ใช้งานได้กับเซิร์ฟเวอร์ Linux OS เท่านั้น แต่ได้มีการค้นพบเวอร์ชันใหม่กว่าที่สามารถส่งผลกระทบต่ออุปกรณ์ Windows OS

ฟังก์ชันการทำงานที่แน่นอนของ YamaBot แตกต่างกันระหว่างสองเวอร์ชัน สำหรับผู้เริ่มต้น ข้อมูลเบื้องต้นเกี่ยวกับระบบที่ติดไวรัสที่รวบรวมโดยมัลแวร์นั้นรวมถึงชื่อโฮสต์ ชื่อผู้ใช้ และที่อยู่ MAC บน Windows และเฉพาะชื่อโฮสต์และชื่อผู้ใช้บน Linux นอกจากนี้ เวอร์ชัน Linux สามารถรันคำสั่งเชลล์ผ่าน /bin/sh เท่านั้น

อย่างไรก็ตาม บน Windows YamaBot สามารถรับไฟล์และรายการไดเร็กทอรี ดึงไฟล์เพิ่มเติม แก้ไขเวลาพักเครื่องของระบบ รันคำสั่งเชลล์ และลบตัวเองออกจากเครื่อง ด้วยเหตุผลที่ไม่ทราบสาเหตุ ผู้โจมตีได้สร้างภัยคุกคาม YamaBot เพื่อส่งคืนผลลัพธ์ของคำสั่งที่ดำเนินการเป็นภาษาเยอรมันเช่นกัน สำหรับการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control ของการดำเนินการที่คุกคาม (C2, C&C) ภัยคุกคามนั้นใช้คำขอ HTTP