YamaBot 恶意软件

YamaBot 恶意软件说明

YamaBot 恶意软件是一种伤害性威胁,与被称为Lazarus Group的朝鲜 APT(高级持续威胁)网络犯罪组织有关。这种特殊的恶意软件是用 Go 编程语言编写的,其目标主要位于日本。网络犯罪分子根据他们想要感染的特定系统创建了不同的 YamaBot 版本。最初,YamaBot 仅用于 Linux 操作系统服务器,但已经发现了一个能够影响 Windows 操作系统设备的新版本。

YamaBot 的确切功能在两个版本之间有所不同。首先,恶意软件收集的有关受感染系统的初始信息包括 Windows 上的主机名、用户名和 MAC 地址,而 Linux 上仅包括主机名和用户名。此外,Linux 版本只能通过 /bin/sh 执行 shell 命令。

但是,在 Windows 上,YamaBot 可以获取文件和目录列表、获取附加文件、修改系统的睡眠时间、执行 shell 命令以及从机器中删除自身。由于未知原因,攻击者创建了 YamaBot 威胁,以返回德语执行命令的结果。至于它与威胁行动的命令和控制服务器(C2、C&C)的通信,威胁利用 HTTP 请求。