北韓駭客Lazarus使用新後門程式Vyveva

資安業者ESET於南非貨運公司之伺服器中發現新後門程式Vyveva，並推測其為北韓駭客組織Lazarus使用於間諜攻擊行動之工具。

ESET首度於2020年6月發現Vyveva後門程式，推測駭客至少自2018年12月即開始使用此後門程式。Vyveva後門程式之程式碼與功能，皆與北韓駭客組織Lazarus使用之另一後門程式NukeSped相似，如皆運用假TLS協定進行網路通訊、使用命令列執行程式及採用Tor服務等。

Vyveva後門程式每3分鐘使用Tor服務與C2伺服器進行連線，並送出受駭電腦資訊供駭客參考，以下達命令，可接收並執行23種命令，包括操作檔案、處理程序及蒐集資訊，亦可執行罕見功能，如竄改檔案時戳(Timestomping)，此命令可使駭客透過2種方式竄改時間戳記，第1種係將來源檔案之建立、寫入及最後存取時間等資料，複製至目標檔案，第2種係將目標檔案之建立與寫入時間戳記，變更為2000年至2004年間之隨機時間點，惟最後存取時間戳記不變，而竄改檔案時戳之用意為躲避資安系統之偵測。


本文轉載自NCCST。