Les chercheurs d’ESET ont découvert une nouvelle porte dérobée utilisée pour attaquer une entreprise de logistique d’Afrique du Sud, baptisé Vyveva. Ils ont attribué le malware au groupe Lazarus en raison de similitudes avec les campagnes et les échantillons précédents liés au groupe. La porte dérobée comprend plusieurs fonctionnalités de cyberespionnage, telles que l’exfiltration de fichiers, et la collecte d’informations sur l’ordinateur ciblé et ses lecteurs. Elle communique avec son serveur de commande et de contrôle via le réseau Tor.
La télémétrie de Vyveva indique un déploiement ciblé, car les chercheurs d’ESET n’ont trouvé que deux machines victimes, toutes deux des serveurs appartenant à la société de logistique sud-africaine susmentionnée. Selon l’enquête d’ESET, Vyveva est utilisé depuis au moins décembre 2018.
« Vyveva possède de multiples similarités au niveau du code avec des échantillons plus anciens de Lazarus détectés par la technologie ESET. Ces similarités ne s’arrêtent cependant pas là : l’utilisation d’un faux protocole TLS pour la communication réseau, les chaînes des lignes de commande, les méthodes de chiffrement et l’utilisation des services Tor, pointent toutes vers Lazarus. Par conséquent, nous pouvons attribuer Vyveva à ce groupe avec quasi-certitude,» déclare Filip Jurčacko, le chercheur d’ESET qui a analysé l’arsenal découvert.
La porte dérobée exécute les commandes émises par les pirates pour effectuer des opérations sur les fichiers et les processus, et collecter des informations. Il existe également une commande moins couramment utilisée pour l’horodatage des fichiers, qui permet de copier les horodatages d’un fichier source vers un fichier destination, ou d’utiliser une date aléatoire.
Pour plus de détails sur Vyveva, lisez le communiqué d'ESET intitulé "Selon ESET Research, Lazarus s’attaque à une entreprise de fret en Afrique du Sud via une nouvelle porte dérobée".
La Rédaction d'Africa Cybersecurity Mag
