【安全资讯】Lazarus使用Vyveva新后门攻击南非货运公司

ESET的研究人员发现了一个名为Vyveva的新后门，该后门被用于攻击南非的一家货运物流公司。Vyveva由多个组件组成， 通过Tor网络与其C&C服务器通信，Vyveva具有文件泄露、修改时间戳、收集受害计算机及驱动器的信息，以及其他常见的后门功能，例如执行任意代码。 经分析，研究人员将Vyveva后门归因于Lazarus组织。

Lazarus是来自朝鲜的APT组织，Vyveva是该组织工具库中的最新武器，Vyveva至少从2018年开始投入使用，最早在2020年6月被发现，目前并不清楚部署Vyveva的初始媒介是什么。

Vyveva与Lazarus组织所使用的NukeSped恶意软件家族的代码相似。

Vyveva（左）和NukeSped（右）代码相似度比较

Vyveva后门由三个组件构成，分别是安装程序，装载程序和后门程序，组件概述如下：

Vyveva组件概述

组件安装程序的主要功能是创建一个确保后门加载程序持久性的服务，并将默认后门配置存储在注册表中。

而后门程序则是Vyveva的主要组件，通过连接到C＆C服务器并远程执行命令。Vyveva具有23个命令，其中一些命令是异步的，只在自身线程中执行。后门程序包含一个看门狗模块，每三分钟与C2进行联系，向操作员发送数据流，包括何时连接或断开驱动器，以及活动会话和登录用户的数量。

研究人员通过分析 Vyveva 的代码库，最终将其归因于Lazarus组织，而该后门在投入使用后持续两年以上未被发现这点，突显出Lazarus组织在定制后门方面的专业知识。