L'agence de cybersécurité ESET a découvert une porte dérobée précédemment non documentée utilisée pour attaquer une entreprise de logistique en Afrique du Sud. On pense que ce malware est lié au groupe Lazarus, car il présente des similitudes avec les opérations précédentes et des exemples du groupe Lazarus. Cette nouvelle porte dérobée, découverte par les chercheurs d'ESET, a été nommée Vyveva.
Il comprend diverses fonctionnalités de cyberespionnage telles que le vol de fichiers par porte dérobée, l'obtention d'informations à partir de l'ordinateur ciblé et de ses pilotes. Il communique avec le serveur de commande et de contrôle (C&C) via le réseau Tor.
Les chercheurs d'ESET ont découvert que ce malware ne cible que deux machines. Ces deux machines se sont révélées être des serveurs appartenant à la société de logistique située en Afrique du Sud. Selon les recherches d'ESET, Vyveva est utilisé depuis décembre 2018.
Le chercheur d'ESET Filip Jurčacko, qui a analysé l'arme Lazarus, a déclaré: «Vyveva possède de nombreux codes similaires aux anciens échantillons Lazarus détectés par la technologie ESET. Mais la similitude ne s'arrête pas là: il présente de nombreuses autres similitudes, telles que l'utilisation d'un faux protocole TLS dans la communication réseau, la chaîne d'exécution de la ligne de commande, le cryptage et les méthodes d'utilisation des services Tor. Toutes ces similitudes pointent vers le groupe Lazarus. Nous sommes donc sûrs que Vyveva appartient à ce groupe APT. "
Découvert par les chercheurs d'ESET, Vyveva exécute des commandes utilisées par les organisateurs de menaces telles que les opérations de fichiers et de processus, la collecte d'informations. Il existe également une commande moins courante pour l'horodatage des fichiers; Cette commande permet de copier des horodatages d'un fichier "donneur" vers un fichier cible ou d'utiliser une date aléatoire.
Soyez le premier à commenter