اكتشفت وكالة الأمن السيبراني ESET بابًا خلفيًا غير موثق سابقًا يستخدم لمهاجمة شركة لوجستية في جنوب إفريقيا. يُعتقد أن هذه البرامج الضارة مرتبطة بمجموعة Lazarus ، حيث تُظهر أوجه تشابه مع العمليات والأمثلة السابقة لمجموعة Lazarus. تم تسمية هذا الباب الخلفي الجديد ، الذي اكتشفه باحثو ESET ، باسم Vyveva.
يتضمن Backdoor العديد من ميزات التجسس السيبراني مثل سرقة الملفات والحصول على معلومات من الكمبيوتر المستهدف وبرامج التشغيل الخاصة به. يتواصل مع خادم القيادة والتحكم (C&C) عبر شبكة Tor.
وجد باحثو ESET أن هذا البرنامج الضار يستهدف جهازين فقط. تم العثور على هاتين الآلتين لتكونا خوادم تابعة لشركة الخدمات اللوجستية الموجودة في جنوب إفريقيا. وفقًا لأبحاث ESET ، تم استخدام Vyveva منذ ديسمبر 2018.
قال الباحث في ESET Filip Jurčacko ، الذي حلل سلاح Lazarus: "تمتلك Vyveva العديد من الرموز المشابهة لعينات Lazarus القديمة التي اكتشفتها تقنية ESET. لكن التشابه لا يتوقف عند هذا الحد: فهناك العديد من أوجه التشابه الأخرى ، مثل استخدام بروتوكول TLS المزيف في اتصالات الشبكة ، وسلسلة تنفيذ سطر الأوامر ، والتشفير ، وطرق استخدام خدمات Tor. كل هذه التشابهات تشير إلى مجموعة لعازر. لذلك ، نحن على يقين من أن Vyveva تنتمي إلى مجموعة APT هذه ".
اكتشف باحثو ESET أن Vyveva ينفذ الأوامر التي يستخدمها منظمو التهديدات مثل عمليات الملفات والعمليات وجمع المعلومات. يوجد أيضًا أمر أقل شيوعًا للطابع الزمني للملف ؛ يسمح لك هذا الأمر بنسخ الطوابع الزمنية من ملف "مانح" إلى ملف هدف أو استخدام تاريخ عشوائي.
كن أول من يعلق