Phần mềm độc hại YamaBot

Phần mềm độc hại YamaBot là một mối đe dọa gây tổn thương có liên quan đến tổ chức tội phạm mạng APT (Mối đe dọa liên tục nâng cao) của Bắc Triều Tiên được gọi là Lazarus Group . Loại phần mềm độc hại đặc biệt này được viết bằng ngôn ngữ lập trình Go và mục tiêu của nó chủ yếu nằm ở Nhật Bản. Tội phạm mạng đã tạo ra các phiên bản YamaBot khác nhau, tùy thuộc vào hệ thống cụ thể mà chúng muốn lây nhiễm. Ban đầu, YamaBot chỉ được sử dụng để chống lại các máy chủ Hệ điều hành Linux, nhưng một phiên bản mới hơn có khả năng ảnh hưởng đến các thiết bị Hệ điều hành Windows đã được phát hiện.

Chức năng chính xác của YamaBot khác nhau giữa hai phiên bản. Đối với người mới bắt đầu, thông tin ban đầu về hệ thống bị nhiễm phần mềm độc hại thu thập bao gồm tên máy chủ, tên người dùng và địa chỉ MAC trên Windows và chỉ tên máy chủ và tên người dùng trên Linux. Hơn nữa, phiên bản Linux chỉ có thể thực hiện các lệnh shell thông qua / bin / sh.

Tuy nhiên, trên Windows, YamaBot có thể lấy danh sách tệp và thư mục, tìm nạp tệp bổ sung, sửa đổi thời gian ngủ của hệ thống, thực hiện các lệnh shell và xóa chính nó khỏi máy. Vì những lý do không xác định, những kẻ tấn công đã tạo ra mối đe dọa YamaBot để trả lại kết quả của các lệnh đã thực hiện bằng tiếng Đức. Đối với giao tiếp của nó với máy chủ Command-and-Control của hoạt động đe dọa (C2, C&C), mối đe dọa sử dụng các yêu cầu HTTP.