Lazarus Group がロジスティクス企業を攻撃: グローバルな貨物ロジスティクスの失敗は深刻な結果をもたらす可能性があります。 デジタルであろうとアナログであろうと、障害はグローバルな貨物ロジスティクスにとって特に厄介です。 これは、コンテナ船「エバー・ギブン」によるスエズ運河の封鎖によって最近示されたばかりです。
ESET の研究者は、南アフリカの貨物物流会社への攻撃で使用された、これまで知られていなかったバックドアを発見しました。 悪名高い Lazarus グループがマルウェアの背後にいます。 この目的のために、ヨーロッパの IT セキュリティ メーカーのセキュリティ専門家は、ハッカー グループの以前の操作と手順との類似点を発見しました。
バックドア Vyveva にはスパイ機能があります
Vyveva という名前のバックドアは、標的のコンピューターに関する情報を収集し、それを Lazarus コンピューターに転送するなど、複数のスパイ機能を備えています。 IT システムの中断も可能でした。 スパイウェアは、Tor ネットワークを介してコマンド & コントロール (C&C) サーバーと通信します。 ESET の研究者は、結果を WeliveSecurity で公開しています。
「Vyveva は、古い Lazarus サンプルと多くのコードの類似点を共有しています。 さらに、ネットワーク通信での偽の TLS プロトコルの使用、コマンド ラインの連鎖、および暗号化と Tor サービスの使用方法はすべて、APT グループを指しています。 したがって、高い確率でバックドアが Lazarus グループによるものであると考えることができます」と、Vyveva を分析した ESET の研究者である Filip Jurčacko は述べています。
ESETの研究者は標的型攻撃を疑っています
ヨーロッパの IT セキュリティ メーカーによる調査では、Vyveva が標的を絞った方法で使用されたことが示されています。 ESET の研究者は、南アフリカの物流会社のサーバーである被害者のコンピューターを 2018 台しか発見できませんでした。 ESET の研究者による分析により、Vyveva は少なくとも XNUMX 年 XNUMX 月から使用されていることが明らかになりました。
Tor ネットワークを介した通信
バックドアは、機密データの収集など、ハッキング グループによって発行されたコマンドを実行します。 ファイルのタイムスタンプを変更するコマンドもあります。 Vyveva は Tor ネットワーク経由で C&C サーバーと通信し、XNUMX 分間隔で接続します。 スパイウェアは、感染したコンピュータとそのドライブに関する情報を送信します。 ここではいわゆるウォッチドッグが使用されており、感染したシステムに特定の変更が加えられると、C&C サーバーにメッセージが送信されます。
「特に興味深いのは、新たに接続および切断されたドライブを監視する特別なバックドア ウォッチドッグです。 アクティブなセッションの数を監視するウォッチドッグもあります。 これは、たとえば、登録ユーザー数です。 これらのコンポーネントは、事前に設定された通常の XNUMX 分間隔以外で C&C サーバーへの接続をトリガーできます」と Jurčacko 氏は説明します。
詳細については、ESET.com の WeLiveSecurity をご覧ください
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。