La agencia de ciberseguridad ESET descubrió una puerta trasera previamente indocumentada utilizada para atacar una empresa de logística en Sudáfrica. Se cree que este malware está relacionado con el grupo Lazarus, ya que muestra similitudes con las operaciones anteriores y ejemplos del grupo Lazarus. Esta nueva puerta trasera, descubierta por los investigadores de ESET, se llamó Vyveva.
Backdoor incluye varias funciones de ciberespionaje, como el robo de archivos, la obtención de información de la computadora objetivo y sus controladores. Se comunica con el servidor de Comando y Control (C&C) a través de la red Tor.
Los investigadores de ESET descubrieron que este malware solo se dirige a dos máquinas. Se encontró que estas dos máquinas eran servidores pertenecientes a la empresa de logística ubicada en Sudáfrica. Según la investigación de ESET, Vyveva se utiliza desde diciembre de 2018.
El investigador de ESET Filip Jurčacko, quien analizó el arma de Lazarus, dijo: “Vyveva tiene muchos códigos similares a las muestras de Lazarus más antiguas detectadas por la tecnología de ESET. Pero la similitud no se detiene ahí: tiene muchas otras similitudes, como el uso de un protocolo TLS falso en la comunicación de red, la cadena de ejecución de la línea de comandos, el cifrado y los métodos de uso de los servicios Tor. Todas estas similitudes apuntan al grupo de Lázaro. Por lo tanto, estamos seguros de que Vyveva pertenece a este grupo APT ".
Descubierto por los investigadores de ESET, Vyveva ejecuta comandos utilizados por los organizadores de amenazas, como operaciones de archivos y procesos, recopilación de información. También hay un comando menos común para la marca de tiempo del archivo; Este comando le permite copiar marcas de tiempo de un archivo "donante" a un archivo de destino o utilizar una fecha aleatoria.
Sé el primero en comentar