黑客组织最新武器锁定南非货运公司

攻击载体尚不清楚，但对感染该恶意软件的机器进行检查后发现，该恶意软件与Lazarus集团存在紧密联系。

Lazarus是一个朝鲜的高级持续性威胁(APT)组织。这个由国家支持的APT组织十分活跃，目前被认为与其有联系的事件有：

• WannaCry勒索软件爆发
• 8000万美元的孟加拉国银行抢劫案
• 对韩国供应链发起攻击，进行加密货币盗窃
• 2014年的索尼黑客事件
• ...

新发现的武器，在2018年就可能在使用

Vyveva是Lazarus武器库中最新发现的武器之一。该后门最早是在2020年6月被发现的，但至少从2018年开始就可能在使用。

该后门能够窃取文件，从受感染的机器及其驱动器收集数据，远程连接到命令和控制(C2)服务器并运行任意代码。

此外，该后门还使用虚假的TLS连接进行网络通信，通过Tor网络连接到其C2的组件，以及APT组织在过去的活动中采用的命令行执行链。

Vyveva与旧的Lazarus恶意软件系列Manuscrypt/NukeSped在编码上有相似之处。

Vyveva还包括一个 "timestomping "选项，允许时间戳创建/写/访问的时间从 "捐赠者 "文件被复制。复制文件时还有一个有趣的功能：过滤出特定的扩展名，只专注于特定类型的内容，如微软Office文件，进行窃取。

后门通过看门狗模块每三分钟联系其C2，向其操作员发送数据流，包括驱动器何时连接或断开，以及活动会话和登录用户的数量 ，该活动可能

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!