Vyveva Backdoor Trojan

网络安全研究人员发现了一个以前未知的名为Vyveva的后门特洛伊木马威胁。威胁由多个不同的组件组成，到目前为止仅分析了三个组件-安装程序，加载程序和主要有效负载。某些间接证据表明，Vyveva是Lazarus APT （高级持久威胁）组的恶意软件库的一部分。尽管据信至少从2018年开始使用Vyveva Backdoor Trojan，但到目前为止，仅检测到两个感染了该系统的系统。这两种设备都属于南非的一家货运物流公司。

维维瓦的攻击链

攻击中使用的初始折衷向量尚未得到确认，但威胁很可能是通过高度针对性的操作来传递的。已发现攻击链中最早的组件是恶意软件的安装程序，但它希望找到系统上已存在的某些其他组件，这表明存在较早的阶段丢弃程序。安装程序有两个主要任务-为后门加载程序建立持久性机制，并将默认后门配置嵌入到系统的注册表中。

Vyvevva的主要威胁组件负责连接到该操作的命令和控制（C2，C＆C）服务器，并执行从威胁参与者收到的任何命令。 Vyveva总共可以识别23个命令，其中大多数与操纵文件系统和处理操作或收集信息有关。但是，有些命令比较突出。例如，Vyvevva可以为文件加上时间戳。如果收到此命令，威胁将把创建/写入/访问时间元数据从源文件复制到目标文件。如果找不到这样的源文件，则将选择2000年到2004年之间的一个随机日期。

文件上载命令还具有一些有趣的特征。威胁参与者可以选择递归渗透选定的目录，同时还过滤某些文件扩展名，或者仅上传具有特定扩展名的文件，或者将其从进程中排除。指定为0x26的特定命令指向迄今为止尚未观察到的未知组件。

拉撒路连接

尽管操作范围极其狭窄，但Vyveva的某些方面还是将威胁作为拉撒路APT使用的工具的一部分。 后门程序与来自NukeSped恶意软件家族等黑客组织的较旧恶意软件威胁具有多个代码相似性。此外，某些命令行执行链和网络通信中伪造的TLS的用户以前也已被Lazarus技术观察到。在Vyveda的加密和Tor服务的实现中也可以发现重叠。