Vyveva Backdoor Trojan

網絡安全研究人員發現了一個以前未知的名為Vyveva的後門特洛伊木馬威脅。威脅由多個不同的組件組成，到目前為止僅分析了三個組件-安裝程序，加載程序和主要有效負載。某些間接證據表明，Vyveva是Lazarus APT （高級持久威脅）組的惡意軟件庫的一部分。儘管據信至少自2018年以來就使用了Vyveva Backdoor Trojan，但到目前為止，僅檢測到兩個感染了該系統的系統。這兩種設備都屬於南非的一家貨運物流公司。

維維瓦的攻擊鏈

攻擊中使用的初始折衷向量尚未得到確認，但威脅很可能是通過高度針對性的操作來傳遞的。已發現攻擊鏈中最早的組件是惡意軟件的安裝程序，但它希望找到系統上已存在的某些其他組件，這表明存在較早的階段丟棄程序。安裝程序有兩個主要任務-為後門加載程序建立持久性機制，並將默認後門配置嵌入到系統的註冊表中。

Vyvevva的主要威脅組件負責連接到該操作的命令和控制（C2，C＆C）服務器，並執行從威脅參與者收到的任何命令。 Vyveva總共可以識別23個命令，其中大多數與操縱文件系統和處理操作或收集信息有關。但是，有些命令比較突出。例如，Vyvevva可以為文件加上時間戳。如果收到此命令，威脅將把創建/寫入/訪問時間元數據從源文件複製到目標文件。如果找不到這樣的源文件，則將選擇2000年到2004年之間的一個隨機日期。

文件上載命令還具有一些有趣的特徵。威脅參與者可以選擇遞歸滲透選定的目錄，同時還過濾某些文件擴展名，或者僅上傳具有特定擴展名的文件，或者將其從進程中排除。指定為0x26的特定命令指向迄今為止尚未觀察到的未知組件。

拉撒路連接

儘管操作範圍極其狹窄，但Vyveva的某些方面還是將威脅作為拉撒路APT使用的工具的一部分。 後門程序與來自NukeSped惡意軟件家族等黑客組織的較舊惡意軟件威脅具有多個代碼相似性。此外，某些命令行執行鍊和網絡通信中偽造的TLS的用戶以前也已被Lazarus技術觀察到。在Vyveda的加密和Tor服務的實現中也可以發現重疊。