Logiciel malveillant YamaBot

Logiciel malveillant YamaBot

Le YamaBot Malware est une menace blessante qui est liée à l'organisation cybercriminelle nord-coréenne APT (Advanced Persistent Threat) connue sous le nom de Lazarus Group . Cette souche de malware particulière est écrite dans le langage de programmation Go et ses cibles ont été principalement localisées au Japon. Les cybercriminels ont créé différentes versions de YamaBot, en fonction des systèmes spécifiques qu'ils souhaitent infecter. Initialement, YamaBot n'était exploité que contre les serveurs Linux OS, mais une version plus récente capable d'avoir un impact sur les appareils Windows OS a été découverte.

La fonctionnalité exacte de YamaBot diffère entre les deux versions. Pour commencer, les informations initiales sur le système infecté recueillies par le logiciel malveillant incluent les noms d'hôte, les noms d'utilisateur et les adresses MAC sous Windows et uniquement les noms d'hôte et les noms d'utilisateur sous Linux. De plus, la version Linux ne peut exécuter que des commandes shell via /bin/sh.

Cependant, sous Windows, YamaBot peut obtenir des listes de fichiers et de répertoires, récupérer des fichiers supplémentaires, modifier le temps de veille du système, exécuter des commandes shell et se supprimer de la machine. Pour des raisons inconnues, les attaquants ont créé la menace YamaBot pour renvoyer également les résultats des commandes exécutées en allemand. Quant à sa communication avec le serveur de commande et de contrôle de l'opération menaçante (C2, C&C), la menace utilise des requêtes HTTP.

Tendance

Chargement...