Cheval de Troie de porte dérobée Vyveva

Une menace de cheval de Troie de porte dérobée inconnue auparavant, nommée Vyveva, a été découverte par des chercheurs en cybersécurité. La menace est composée de plusieurs composants différents, dont trois seulement ont été analysés à ce jour: le programme d'installation, le chargeur et la charge utile principale. Certaines preuves circonstancielles indiquent que Vyveva fait partie de l'arsenal de logiciels malveillants du groupe Lazarus APT (Advanced Persistent Threat). Bien que l'on pense que le cheval de Troie Vyveva Backdoor est utilisé depuis au moins 2018, à ce jour, seuls deux systèmes infectés par celui-ci ont été détectés. Les deux appareils compromis appartiennent à une société de logistique de fret d'Afrique du Sud.

Chaîne d'attaque de Vyveva

Le vecteur de compromis initial utilisé dans l'attaque n'a pas été confirmé, mais la menace a probablement été transmise par le biais d'une opération hautement ciblée. Le premier composant de la chaîne d'attaque qui a été découvert est le programme d'installation du malware, mais il s'attend à trouver certains autres composants déjà présents sur le système, suggérant qu'il existe un dropper à un stade antérieur. Le programme d'installation a deux tâches principales: établir le mécanisme de persistance du chargeur de porte dérobée et intégrer la configuration de porte dérobée par défaut dans le registre du système.

Le principal composant menaçant de Vyvevva est chargé de se connecter aux serveurs de commande et de contrôle (C2, C&C) de l'opération et d'exécuter toutes les commandes reçues de l'acteur menaçant. Vyveva peut reconnaître un total de 23 commandes, la plupart d'entre elles étant liées à la manipulation du système de fichiers et aux opérations de traitement ou à la collecte d'informations. Cependant, certaines commandes se démarquent. Par exemple, Vyvevva est capable d'horodater les fichiers. Si cette commande est reçue, la menace copiera les métadonnées de création / écriture / heure d'accès d'un fichier source vers un fichier de destination. Si un tel fichier source ne peut être trouvé, une date aléatoire entre 2000 et 2004 sera choisie à la place.

La commande de téléchargement de fichier présente également des caractéristiques intéressantes. L'acteur de la menace peut choisir d'exfiltrer les répertoires sélectionnés de manière récursive tout en filtrant certaines extensions de fichiers, en téléchargeant uniquement les fichiers avec l'extension spécifique ou en les excluant du processus. Une commande particulière désignée par 0x26 pointe vers un composant inconnu qui jusqu'à présent n'a pas été observé.

Connexion Lazarus

Malgré la portée extrêmement étroite de l'opération, certains aspects de Vyveva placent la menace comme faisant partie des outils employés par l'APT Lazarus. La porte dérobée partage plusieurs similitudes de code avec les anciennes menaces de logiciels malveillants du groupe de pirates informatiques, telles que la famille de logiciels malveillants NukeSped. En outre, certaines chaînes d'exécution de ligne de commande et l'utilisateur de faux TLS dans la communication réseau ont également été précédemment observés des techniques de Lazarus. Des chevauchements peuvent également être trouvés dans la mise en œuvre des services de chiffrement et Tor de Vyveda.