Компания ESET сообщает об обнаружении ранее незафиксированного бэкдора под названием Vyveva, который использовался для атаки на логистическую компанию. Вредоносная программа может перехватывать файлы и собирать информацию о конкретном компьютере и его дисках.

В ходе исследования выявлено только два зараженных устройства, которые являются серверами одной логистической компании, что подтверждает целенаправленность атак. При этом бэкдор Vyveva использовался минимум с декабря 2018 года.

Специалисты ESET связывают это вредоносное программное обеспечение с известной группой киберпреступников Lazarus через общие сходства с их предыдущими атаками. «Вредоносный код Vyveva во многом похож на другие образцы Lazarus, обнаруженные ESET. Кроме этого, на Lazarus указывают использование фальшивого протокола TLS при сетевом соединении, порядок выполнения командной строки, а также методы применения шифрования и служб Tor. Именно поэтому бэкдор Vyveva можно уверенно относить к инструментарию этой APT-группы», — комментирует Филипп Юрчацко, исследователь ESET.

Бэкдор выполняет команды, которые поступают от злоумышленников, например, операции с файлами и процессами, а также осуществляет сбор информации. Для связи с командным сервером (C&C) Vyveva использует библиотеку Tor. В частности, бэкдор соединяется с C&C каждые 3 минуты, отправляя информацию о зараженном компьютере и его дисках до получения команд.

Особый интерес вызывает система защиты бэкдора, которая используется для мониторинга подключенных и отключенных дисков. Тогда как таймер безопасности сеанса отслеживает количество активных сеансов, например, пользователей, которые вошли в систему. Эти компоненты могут инициировать соединение с командным сервером в дополнение к обычному, предварительно настраиваемому интервалу.