Küberturvalisuse agentuur ESET avastas varem dokumentideta tagaukse, mida kasutati Lõuna-Aafrika Vabariigis logistikaettevõtte ründamiseks. Arvatakse, et see pahavara on seotud Laatsaruse rühmaga, kuna see näitab sarnasusi eelmiste toimingute ja Laatsaruse rühma näidetega. See ESETi teadlaste poolt avastatud uus tagauks sai nimeks Vyveva.
Backdoor sisaldab mitmesuguseid küber-spionaaži funktsioone, nagu failivargused, teabe hankimine sihitud arvutist ja selle draiveritest. See suhtleb käskude ja juhtimissüsteemi (C&C) serveriga Tori võrgu kaudu.
ESETi teadlased leidsid, et see pahavara sihib ainult kahte masinat. Leiti, et need kaks masinat olid Lõuna-Aafrikas asuvale logistikaettevõttele kuuluvad serverid. ESETi uuringute kohaselt on Vyveva kasutusel olnud alates 2018. aasta detsembrist.
ESETi uurija Filip Jurčacko, kes analüüsis Lazaruse relva, ütles: „Vyveval on palju koode, mis on sarnased vanemate Lazaruse proovidega, mille on tuvastanud ESET-tehnoloogia. Kuid sarnasus sellega ei piirdu: sellel on palju muid sarnasusi, näiteks võltsitud TLS-protokolli kasutamine võrgusuhtluses, käsurea täitmisahel, krüpteerimine ja Tori teenuste kasutamise meetodid. Kõik need sarnasused viitavad Laatsaruse rühmale. Seetõttu oleme kindlad, et Vyveva kuulub sellesse APT gruppi. "
ESETi teadlaste poolt avastatud Vyveva täidab ohukorraldajate kasutatavaid käske, näiteks faili- ja protsessitoiminguid, teabe kogumist. Samuti on faili ajatempli jaoks vähem levinud käsk; See käsk võimaldab kopeerida ajatemplid failist "doonor" sihtfaili või kasutada juhuslikku kuupäeva.
Ole esimene, kes kommenteerib