Skip to content

駭客Lazarus利用新的後門程式對南非貨運公司下手

國際資安大廠ESET在南非一家貨運公司的伺服器上,發現名為Vyveva的後門程式,並認為是駭客組織Lazarus用於間諜攻擊行動的工具。

這次的後門程式,於2020年6月首度被發現,但駭客至少在2018年12月就開始運用這個工具,而究竟攻擊的來源為何,ESET表示最初攻擊的源頭仍不明朗,但根據Vyveva的特徵來判斷,有強烈的證據顯示與Lazarus有關。

比對該組織另一個後門程式NukeSped,不只發現程式碼與Vyveva多處有相似之處,還有功能上也有所雷同,像是在網路通訊上運用假的TLS協定,或者利用命令列執行,以及加密手法與採用的Tor服務等,都指向是Lazarus所使用的工具。

而這個後門程式的功能,主要是能探索與外洩受害電腦的資料,並透過洋蔥網路(Tor)回傳給Lazarus。ESET經拆解Vyveva後,指出這款攻擊工具包含了安裝器、載入程式,以及後門程式等3個重要元件。

其中,Vyveva的後門元件,是用來連接C2伺服器接收攻擊者的指令。該元件總共能夠執行23種命令,大部分的命令是操作檔案與處理程序,或者是收集資訊,但這些命令也有較為少見的功能,像是檔案時戳的竄改(Timestomping),ESET提到,這個命令可讓攻擊者從一個來源檔案,將檔案的建立時間、寫入時間,以及最後存取時間等中繼資料,複製到另一個檔案,或者隨機將相關的檔案時間戳記,變更為2000年至2004年之間的某個時間。而竄改檔案時戳的用意,就是規避同時檢查這類似資訊的資安系統的偵測,而不致被發現。

由於Vyveva透過洋蔥網路與C2伺服器連線,故ESET也特別談到駭客所使用的Tor程式庫與連線方式,這個程式庫是採用Tor官方的原始碼打造,並且透過隨機組態選擇C2伺服器。除此之外,這個後門程式每3分鐘就會與C2伺服器嘗試連線,並送出受害電腦與磁碟機的資訊,以便攻擊者做為下達命令的參考。

原文出處:https://www.welivesecurity.com/2021/04/08/are-you-afreight-dark-watch-out-vyveva-new-lazarus-backdoor/

#若有任何資安需求,歡迎洽詢台灣二版資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://version-2.com.tw/

 

關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟體提供商,其 獲獎產品——NOD32防病毒軟體系統,能夠針對各種已知或未知病毒、間諜軟體 (spyware)、rootkits和其他惡意軟體為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲 得了更多的Virus Bulletin 100%獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳 能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布里斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事 處,代理機構覆蓋全球超過100個國家。