YamaBot-Malware

Die YamaBot Malware ist eine schädliche Bedrohung, die mit der nordkoreanischen APT (Advanced Persistent Threat) cyberkriminellen Organisation namens Lazarus Group in Verbindung gebracht wird. Dieser spezielle Malware-Stamm ist in der Programmiersprache Go geschrieben und seine Ziele befinden sich hauptsächlich in Japan. Die Cyberkriminellen haben verschiedene YamaBot-Versionen erstellt, abhängig von den spezifischen Systemen, die sie infizieren wollen. Ursprünglich wurde YamaBot nur gegen Linux-Betriebssystemserver eingesetzt, aber es wurde eine neuere Version entdeckt, die sich auf Windows-Betriebssystemgeräte auswirken kann.

Die genaue Funktionalität von YamaBot unterscheidet sich zwischen den beiden Versionen. Zunächst einmal umfassen die anfänglichen Informationen über das infizierte System, die von der Malware gesammelt werden, Hostnamen, Benutzernamen und MAC-Adressen unter Windows und nur Hostnamen und Benutzernamen unter Linux. Außerdem kann die Linux-Version nur Shell-Befehle über /bin/sh ausführen.

Unter Windows kann YamaBot jedoch Datei- und Verzeichnislisten abrufen, zusätzliche Dateien abrufen, die Ruhezeit des Systems ändern, Shell-Befehle ausführen und sich selbst von der Maschine löschen. Aus unbekannten Gründen haben die Angreifer die YamaBot-Bedrohung erstellt, um die Ergebnisse ausgeführter Befehle auch auf Deutsch zurückzugeben. Für die Kommunikation mit dem Command-and-Control-Server (C2, C&C) der bedrohlichen Operation verwendet die Bedrohung HTTP-Anforderungen.