Vyveva Backdoor-Trojaner

Eine bisher unbekannte Backdoor-Trojaner-Bedrohung namens Vyveva wurde von Cybersicherheitsforschern entdeckt. Die Bedrohung besteht aus mehreren verschiedenen Komponenten, von denen bisher nur drei analysiert wurden - das Installationsprogramm, der Lader und die Hauptnutzlast. Bestimmte Indizien deuten darauf hin, dass Vyveva Teil des Malware-Arsenals der Lazarus APT- Gruppe (Advanced Persistent Threat) ist. Obwohl angenommen wird, dass der Vyveva Backdoor-Trojaner seit mindestens 2018 verwendet wird, wurden bisher nur zwei mit ihm infizierte Systeme erkannt. Beide kompromittierten Geräte gehören einem Frachtlogistikunternehmen aus Südafrika.

Vyvevas Angriffskette

Der ursprüngliche Kompromittierungsvektor, der für den Angriff verwendet wurde, wurde nicht bestätigt, aber die Bedrohung wurde höchstwahrscheinlich durch eine sehr gezielte Operation übertragen. Die früheste Komponente in der Angriffskette, die entdeckt wurde, ist das Installationsprogramm der Malware. Es wird jedoch erwartet, dass bestimmte andere Komponenten bereits auf dem System vorhanden sind, was darauf hindeutet, dass ein Dropper in einem früheren Stadium vorhanden ist. Das Installationsprogramm hat zwei Hauptaufgaben: Festlegen des Persistenzmechanismus für den Backdoor-Loader und Einbetten der Standard-Backdoor-Konfiguration in die Systemregistrierung.

Die Hauptbedrohungskomponente von Vyvevva ist dafür verantwortlich, eine Verbindung zu den Command-and-Control-Servern (C2, C & C) des Vorgangs herzustellen und alle vom Bedrohungsakteur empfangenen Befehle auszuführen. Vyveva kann insgesamt 23 Befehle erkennen, von denen die meisten mit der Manipulation des Dateisystems und der Verarbeitung von Vorgängen oder dem Sammeln von Informationen zusammenhängen. Es gibt jedoch einige Befehle, die auffallen. Zum Beispiel kann Vyvevva Zeitstempel für Dateien erstellen. Wenn dieser Befehl empfangen wird, kopiert die Bedrohung Metadaten für die Erstellung, das Schreiben und den Zugriff von einer Quelldatei in eine Zieldatei. Wenn eine solche Quelldatei nicht gefunden werden kann, wird stattdessen ein zufälliges Datum zwischen 2000 und 2004 gewählt.

Der Befehl zum Hochladen von Dateien weist auch einige interessante Eigenschaften auf. Der Bedrohungsakteur kann ausgewählte Verzeichnisse rekursiv exfiltrieren und gleichzeitig bestimmte Dateierweiterungen filtern, indem er entweder nur Dateien mit der spezifischen Erweiterung hochlädt oder sie aus dem Prozess ausschließt. Ein bestimmter Befehl mit der Bezeichnung 0x26 zeigt auf eine unbekannte Komponente, die bisher nicht beobachtet wurde.

Lazarus-Verbindung

Trotz des äußerst engen Umfangs der Operation stellen bestimmte Vyveva-Aspekte die Bedrohung als Teil der von der Lazarus APT verwendeten Tools dar. Die Hintertür hat mehrere Code-Ähnlichkeiten mit älteren Malware-Bedrohungen der Hacker-Gruppe wie der NukeSped- Malware-Familie. Darüber hinaus wurden zuvor auch bestimmte Befehlszeilen-Ausführungsketten und der Benutzer von gefälschtem TLS in der Netzwerkkommunikation mit Lazarus-Techniken beobachtet. Überschneidungen können auch bei der Implementierung der Verschlüsselungs- und Tor-Dienste von Vyveda auftreten.