Agen keamanan siber ESET menemukan pintu belakang yang sebelumnya tidak berdokumen yang digunakan untuk menyerang perusahaan logistik di Afrika Selatan. Malware ini diduga terkait dengan grup Lazarus, karena menunjukkan kemiripan dengan operasi sebelumnya dan contoh grup Lazarus. Pintu belakang baru ini, ditemukan oleh para peneliti ESET, diberi nama Vyveva.
Ini mencakup berbagai fitur spionase cyber seperti pencurian file pintu belakang, memperoleh informasi dari komputer yang ditargetkan dan drivernya. Ini berkomunikasi dengan server Command and Control (C&C) melalui jaringan Tor.
Peneliti ESET menemukan bahwa malware ini hanya menargetkan dua mesin. Kedua mesin ini ditemukan sebagai server milik perusahaan logistik yang berlokasi di Afrika Selatan. Menurut penelitian ESET, Vyveva telah digunakan sejak Desember 2018.
Peneliti ESET Filip Jurčacko, yang menganalisis senjata Lazarus, mengatakan: “Vyveva memiliki banyak kode yang mirip dengan sampel Lazarus yang lebih tua yang terdeteksi oleh teknologi ESET. Tetapi kesamaan tidak berhenti di situ: Ia memiliki banyak kesamaan lainnya, seperti penggunaan protokol TLS palsu dalam komunikasi jaringan, rantai eksekusi baris perintah, enkripsi, dan metode penggunaan layanan Tor. Semua kesamaan ini menunjuk pada kelompok Lazarus. Oleh karena itu, kami yakin Vyveva termasuk dalam grup APT ini. "
Ditemukan oleh peneliti ESET, Vyveva menjalankan perintah yang digunakan oleh penyelenggara ancaman seperti operasi file dan proses, pengumpulan informasi. Ada juga perintah yang kurang umum untuk stempel waktu file; Perintah ini memungkinkan untuk menyalin cap waktu dari file "donor" ke file target atau menggunakan tanggal acak.
Jadilah yang pertama mengomentari