攻撃グループLazarusが使用するマルウェアYamaBot

JPCERT/CCでは、攻撃グループLazarusの活動を継続的に調査しています。2021年には、CODE BLUEおよびHITCONにて攻撃グループLazarusの攻撃活動について発表をしています。

https://github.com/JPCERTCC/Lazarus-research/

上記の調査レポートで共有したLinux OSをターゲットにしたマルウェアYamaBot(資料内では、Kaosと記載していますが、本ブログではYamaBotと記載します)について、Windows OSをターゲットにしたものが最近確認されました。YamaBotは、Go言語で作成されたマルウェアで、各プラットホーム向けに作成されたマルウェア間で機能が多少異なります。YamaBot以外にも、攻撃グループLazarusは、VSingleなどマルチプラットフォームをターゲットにしたマルウェアを複数使用しています。今回は、このYamaBotについて詳細を解説します。

YamaBotの概要
YamaBotは、C2サーバーとHTTPリクエストを使用して通信を行うマルウェアです。以下は、Windows OSをターゲットにした検体内に含まれていたマルウェアの関数名の一覧です。YamaBotは、攻撃者自身がこのマルウェアに命名しているものです。Windows OSをターゲットにしたものでは、Mutexを作成・確認する機能など、Windows固有の機能が含まれています。

https://blogs.jpcert.or.jp/ja/2022/06/yamabot.html