國際資安大廠ESET在南非一家貨運公司的伺服器上,發現名為Vyveva的後門程式,並認為是駭客組織Lazarus用於間諜攻擊行動的工具。
這次的後門程式,於2020年6月首度被發現,但駭客至少在2018年12月就開始運用這個工具,而究竟攻擊的來源為何,ESET表示最初攻擊的源頭仍不明朗,但根據Vyveva的特徵來判斷,有強烈的證據顯示與Lazarus有關。
比對該組織另一個後門程式NukeSped,不只發現程式碼與Vyveva多處有相似之處,還有功能上也有所雷同,像是在網路通訊上運用假的TLS協定,或者利用命令列執行,以及加密手法與採用的Tor服務等,都指向是Lazarus所使用的工具。
而這個後門程式的功能,主要是能探索與外洩受害電腦的資料,並透過洋蔥網路(Tor)回傳給Lazarus。ESET經拆解Vyveva後,指出這款攻擊工具包含了安裝器、載入程式,以及後門程式等3個重要元件。
其中,Vyveva的後門元件,是用來連接C2伺服器接收攻擊者的指令。該元件總共能夠執行23種命令,大部分的命令是操作檔案與處理程序,或者是收集資訊,但這些命令也有較為少見的功能,像是檔案時戳的竄改(Timestomping),ESET提到,這個命令可讓攻擊者從一個來源檔案,將檔案的建立時間、寫入時間,以及最後存取時間等中繼資料,複製到另一個檔案,或者隨機將相關的檔案時間戳記,變更為2000年至2004年之間的某個時間。而竄改檔案時戳的用意,就是規避同時檢查這類似資訊的資安系統的偵測,而不致被發現。
由於Vyveva透過洋蔥網路與C2伺服器連線,故ESET也特別談到駭客所使用的Tor程式庫與連線方式,這個程式庫是採用Tor官方的原始碼打造,並且透過隨機組態選擇C2伺服器。除此之外,這個後門程式每3分鐘就會與C2伺服器嘗試連線,並送出受害電腦與磁碟機的資訊,以便攻擊者做為下達命令的參考。
#若有任何資安需求,歡迎洽詢台灣二版資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://version-2.com.tw/