ヤマボットマルウェア

ヤマボットマルウェア

YamaBot マルウェアは、 Lazarus Groupとして知られる北朝鮮の APT (Advanced Persistent Threat) サイバー犯罪組織にリンクされている有害な脅威です。この特定のマルウェアは Go プログラミング言語で記述されており、その標的は主に日本に置かれています。サイバー犯罪者は、感染させたい特定のシステムに応じて、さまざまなバージョンの YamaBot を作成しました。当初、YamaBot は Linux OS サーバーに対してのみ利用されていましたが、Windows OS デバイスに影響を与える可能性のある新しいバージョンが明らかになりました。

YamaBot の正確な機能は、2 つのバージョン間で異なります。まず第一に、マルウェアによって収集された感染システムに関する初期情報には、Windows ではホスト名、ユーザー名、および MAC アドレスが含まれ、Linux ではホスト名とユーザー名のみが含まれます。さらに、Linux 版では /bin/sh 経由でしかシェル コマンドを実行できません。

ただし、Windows では、YamaBot はファイルとディレクトリのリストを取得し、追加のファイルをフェッチし、システムのスリープ時間を変更し、シェル コマンドを実行し、マシンから自身を削除することができます。理由は不明ですが、攻撃者は実行されたコマンドの結果をドイツ語でも返す YamaBot 脅威を作成しました。脅威を与える操作のコマンド アンド コントロール サーバー (C2、C&C) との通信に関しては、この脅威は HTTP リクエストを利用します。

トレンド

最も見られました

読み込んでいます...