Vyveva Backdoor Trojan

Vyveva adlı daha önce bilinmeyen bir arka kapı Truva atı tehdidi siber güvenlik araştırmacıları tarafından keşfedildi. Tehdit, şimdiye kadar yalnızca üçü analiz edilen birden çok farklı bileşenden oluşur - yükleyici, yükleyici ve ana yük. Bazı ikinci derece kanıtlar, Vyveva'nın Lazarus APT (Advanced Persistent Threat) grubunun kötü amaçlı yazılım cephaneliğinin bir parçası olduğuna işaret ediyor. Vyveva Backdoor Truva Atı'nın en az 2018'den beri kullanıldığına inanılıyor olsa da, şu ana kadar sadece iki sisteme bulaştı. Ele geçirilen cihazların her ikisi de Güney Afrika'dan bir nakliye lojistik şirketine ait.

Vyveva'nın Saldırı Zinciri

Saldırıda kullanılan ilk uzlaşma vektörü doğrulanmadı, ancak tehdit büyük olasılıkla yüksek oranda hedeflenen bir operasyonla iletildi. Saldırı zincirinde keşfedilen en eski bileşen, kötü amaçlı yazılımın yükleyicisidir, ancak sistemde zaten mevcut olan bazı diğer bileşenleri bulmayı bekler, bu da daha erken bir aşama düşürücü olduğunu düşündürür. Yükleyicinin iki ana görevi vardır - arka kapı yükleyicisi için kalıcılık mekanizmasını oluşturmak ve varsayılan arka kapı yapılandırmasını sistemin kayıt defterine yerleştirmek.

Vyvevva'nın ana tehdit unsuru, operasyonun Komuta ve Kontrol (C2, C&C) sunucularına bağlanmaktan ve tehdit aktöründen alınan tüm komutları yürütmekten sorumludur. Vyveva, çoğu dosya sistemini manipüle etmek ve işlemleri veya bilgi toplamakla ilgili olmak üzere toplam 23 komutu tanıyabilir. Bununla birlikte, öne çıkan bazı komutlar var. Örneğin, Vyvevva dosya zaman damgası oluşturabilir. Bu komut alınırsa, tehdit oluşturma / yazma / erişim süresi meta verilerini bir kaynak dosyadan bir hedef dosyaya kopyalar. Böyle bir kaynak dosya bulunamazsa, bunun yerine 2000 ile 2004 arasında rastgele bir tarih seçilecektir.

Dosya yükleme komutunun da bazı ilginç özellikleri vardır. Tehdit aktörü, yalnızca belirli uzantılara sahip dosyaları karşıya yükleyerek veya bunları işlemin dışında bırakarak belirli dosya uzantılarını filtrelerken, seçilen dizinleri yinelemeli olarak dışarı sızmayı seçebilir. 0x26 olarak belirtilen belirli bir komut, şimdiye kadar gözlenmemiş bilinmeyen bir bileşene işaret ediyor.

Lazarus Bağlantısı

Operasyonun son derece dar kapsamına rağmen, belirli Vyveva yönleri tehdidi Lazarus APT tarafından kullanılan araçların bir parçası olarak yerleştiriyor. Arka kapı, NukeSped kötü amaçlı yazılım ailesi gibi bilgisayar korsanı grubunun eski kötü amaçlı yazılım tehditleriyle birden çok kod benzerliğini paylaşır. Ayrıca, belirli komut satırı yürütme zincirleri ve ağ iletişiminde sahte TLS kullanıcısı da daha önce Lazarus teknikleri gözlenmiştir. Örtüşmeler, Vyveda'nın şifreleme ve Tor hizmetlerinin uygulanmasında da bulunabilir.