Lazarus: Volgmer és Scout malware
A Lazarus csoport tevékenységei 2009-ig nyúlnak vissza. Az elmúlt néhány évben a csoport támadásokat indított több koreai vállalat és szervezet ellen, főleg a műhold, a szoftver és a média területén. A kezdeti hozzáférési módszerük egy koreai pénzügyi biztonsági tanúsító szoftver biztonsági résének kihasználása volt. A Lazarus csoport nem csak a közönséges PC-ket támadja meg, hanem szerverrendszereket is azzal a céllal, hogy kártevő-terjesztő vagy C&C szerverként használja őket.
A Lazarus csoport már régóta aktív, sok támadási eset fordul elő, és minden esetben különféle rosszindulatú programtörzseket használnak. Különösen a hátsó ajtók széles választéka használható a fertőzött rendszer vezérlésére az első hozzáférés után. Az AhnLab Security Emergency Reagency Center (ASEC) folyamatosan nyomon követi és elemzi a Lazarus csoport támadásait, és friss jelentésükben a Volgmer és a Scout, a két fő rosszindulatú program törzsét elemzik.
A Volgmer egy hátsó ajtó, amelyet a Lazarus fenyegetettségi csoport 2014 óta használ. A Volgmert, amely általában szolgáltatásként regisztrálva fut, olyan névvel telepítik, amely legitim fájlnak álcázza. A többi rosszindulatú programtól abban különbözik, hogy titkosítja és a „HKLM\SYSTEM\CurrentControlSet\Control\WMI\Security” kulcsban tárolja a konfigurációs adatokat. Az ASEC megállapította, hogy 2014 óta a Volgmer sok változáson ment keresztül, és körülbelül 2021-ig használták támadásokban. Azt is megerősítettük, hogy 2022 óta a Scout nevű letöltőt használták a támadásokhoz Volgmer helyett. A Scout alapvető működési mechanizmusa hasonló az előzőhöz, az egyetlen különbség a tényleges jellemzőkben van. Az általa letöltött hasznos teher feltételezhetően a fertőzött rendszer vezérlésének hátsó ajtója.