YamaBot Malware

Ang YamaBot Malware ay isang masakit na banta na iniuugnay sa North Korean APT (Advanced Persistent Threat) cybercriminal organization na kilala bilang Lazarus Group . Ang partikular na strain ng malware na ito ay nakasulat sa Go programming language at ang mga target nito ay pangunahing matatagpuan sa Japan. Ang mga cybercriminal ay lumikha ng iba't ibang bersyon ng YamaBot, depende sa mga partikular na system na gusto nilang mahawahan. Sa una, ang YamaBot ay ginamit lamang laban sa mga server ng Linux OS, ngunit natuklasan ang isang mas bagong bersyon na may kakayahang makaapekto sa mga Windows OS device.

Ang eksaktong pag-andar ng YamaBot ay naiiba sa pagitan ng dalawang bersyon. Para sa mga panimula, ang paunang impormasyon tungkol sa nahawaang system na nakalap ng malware ay kinabibilangan ng mga hostname, username, at MAC address sa Windows at mga hostname at username lamang sa Linux. Higit pa rito, ang bersyon ng Linux ay maaari lamang magsagawa ng mga shell command sa pamamagitan ng /bin/sh.

Gayunpaman, sa Windows, maaaring makakuha ang YamaBot ng mga listahan ng file at direktoryo, kumuha ng mga karagdagang file, baguhin ang oras ng pagtulog ng system, isagawa ang mga command ng shell at tanggalin ang sarili nito mula sa makina. Para sa hindi kilalang mga kadahilanan, ang mga umaatake ay lumikha ng banta ng YamaBot upang ibalik din ang mga resulta ng mga naisagawang utos sa German. Tulad ng para sa pakikipag-ugnayan nito sa Command-and-Control server ng nagbabantang operasyon (C2, C&C), ang pagbabanta ay gumagamit ng mga kahilingan sa HTTP.