Vyvevaバックドア型トロイの木馬

Vyvevaという名前のこれまで知られていなかったバックドア型トロイの木馬の脅威がサイバーセキュリティ研究者によって発見されました。脅威は複数の異なるコンポーネントで構成されており、これまでに分析されているのは、インストーラー、ローダー、メインペイロードの3つだけです。 特定の状況証拠は、VyvevaがLazarus APT （Advanced Persistent Threat）グループのマルウェア兵器の一部であることを示しています。 Vyvevaバックドアトロイの木馬は少なくとも2018年から使用されていると考えられていますが、これまでに感染したシステムは2つしか検出されていません。侵害されたデバイスは両方とも、南アフリカの貨物ロジスティクス会社に属しています。

Vyvevaの攻撃チェーン

攻撃で使用された最初の侵害ベクトルは確認されていませんが、脅威は非常に的を絞った操作によって配信された可能性があります。発見された攻撃チェーンの最初のコンポーネントはマルウェアのインストーラーですが、システム上にすでに存在する特定の他のコンポーネントを見つけることを期待しており、初期段階のドロッパーが存在することを示唆しています。インストーラーには2つの主要なタスクがあります。バックドアローダーの永続性メカニズムを確立することと、デフォルトのバックドア構成をシステムのレジストリに埋め込むことです。

Vyvevvaの主な脅威コンポーネントは、操作のコマンドアンドコントロール（C2、C＆C）サーバーに接続し、脅威アクターから受信したコマンドを実行する責任があります。 Vyvevaは、合計23のコマンドを認識できますが、そのほとんどは、ファイルシステムの操作と操作の処理、または情報の収集に関連しています。ただし、目立つコマンドがいくつかあります。たとえば、Vyvevvaはファイルのタイムスタンプを作成できます。このコマンドを受信すると、脅威は作成/書き込み/アクセス時間のメタデータをソースファイルから宛先ファイルにコピーします。そのようなソースファイルが見つからない場合は、代わりに2000年から2004年までのランダムな日付が選択されます。

ファイルアップロードコマンドにもいくつかの興味深い特徴があります。攻撃者は、特定の拡張子を持つファイルのみをアップロードするか、プロセスから除外するかのいずれかで、特定のファイル拡張子をフィルタリングしながら、選択したディレクトリを再帰的に盗み出すことを選択できます。 0x26として指定された特定のコマンドは、これまで観察されていない未知のコンポーネントを指します。

ラザロ接続

操作の範囲が非常に狭いにもかかわらず、特定のVyvevaの側面は、LazarusAPTによって採用されたツールの一部として脅威を配置します。 バックドアは、NukeSpedマルウェアファミリーなどのハッカーグループからの古いマルウェアの脅威と複数のコードの類似点を共有しています。さらに、特定のコマンドライン実行チェーンとネットワーク通信での偽のTLSのユーザーも、以前にLazarusの手法で観察されています。重複は、Vyvedaの暗号化およびTorサービスの実装にも見られます。