Troyano de puerta trasera Vyveva

Investigadores de ciberseguridad han descubierto una amenaza troyana de puerta trasera previamente desconocida llamada Vyveva. La amenaza se compone de varios componentes diferentes y hasta ahora solo se han analizado tres: el instalador, el cargador y la carga útil principal. Cierta evidencia circunstancial apunta a que Vyveva es parte del arsenal de malware del grupo Lazarus APT (Advanced Persistent Threat). Aunque se cree que el troyano Vyveva Backdoor se ha utilizado desde al menos 2018, hasta ahora solo se han detectado dos sistemas infectados con él. Los dos dispositivos comprometidos pertenecen a una empresa de logística de carga de Sudáfrica.

Cadena de ataque de Vyveva

El vector de compromiso inicial utilizado en el ataque no se ha confirmado, pero lo más probable es que la amenaza se haya entregado a través de una operación altamente dirigida. El primer componente de la cadena de ataque que se ha descubierto es el instalador del malware, pero espera encontrar otros componentes que ya están presentes en el sistema, lo que sugiere que existe un cuentagotas en una etapa anterior. El instalador tiene dos tareas principales: establecer el mecanismo de persistencia para el cargador de puerta trasera e incrustar la configuración de puerta trasera predeterminada en el registro del sistema.

El principal componente amenazante de Vyvevva es responsable de conectarse a los servidores de comando y control (C2, C&C) de la operación y ejecutar cualquier comando recibido del actor de la amenaza. Vyveva puede reconocer un total de 23 comandos y la mayoría de ellos están relacionados con la manipulación del sistema de archivos y las operaciones de proceso o la recopilación de información. Sin embargo, hay algunos comandos que se destacan. Por ejemplo, Vyvevva es capaz de marcar el tiempo de los archivos. Si se recibe este comando, la amenaza copiará los metadatos de creación / escritura / tiempo de acceso de un archivo de origen a un archivo de destino. Si no se puede encontrar dicho archivo fuente, en su lugar se elegirá una fecha aleatoria entre 2000 y 2004.

El comando de carga de archivos también tiene algunas características interesantes. El actor de amenazas puede optar por exfiltrar los directorios seleccionados de forma recursiva y al mismo tiempo filtrar ciertas extensiones de archivo, ya sea cargando solo archivos con la extensión específica o excluyéndolos del proceso. Un comando particular designado como 0x26 apunta hacia un componente desconocido que hasta ahora no se ha observado.

Conexión Lázaro

A pesar del alcance extremadamente estrecho de la operación, ciertos aspectos de Vyveva colocan la amenaza como parte de las herramientas empleadas por Lazarus APT. La puerta trasera comparte múltiples similitudes de código con amenazas de malware más antiguas del grupo de piratas informáticos, como la familia de malware NukeSped. Además, ciertas cadenas de ejecución de línea de comandos y el usuario de TLS falso en la comunicación de red también han sido previamente observados en las técnicas de Lazarus. También se pueden encontrar superposiciones en la implementación de los servicios Tor y de cifrado de Vyveda.