СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
02.03.2025
#Dev#ИБ#Инфра

Обнаружение бэкдора Kivars: угроза из Тайваня

Обнаружение бэкдора Kivars: угроза из Тайваня

22 февраля 2025 года команда MalwareHunterTeam обнародовала важные сведения о DLL-файле с хэшем 1286aa5c73cf2c8058c52271869a5727d71ca5bd4dd0854be970d2a25cb52bf8. Данный файл был загружен из Тайваня 20 февраля 2025 года и служит для расшифровки и загрузки бэкдора, известного как Kivars.

Функционал и особенности бэкдора

Kivars представляет собой сложное угрожающее ПО, которое использует модифицированный алгоритм шифрования RC4 с дополнительным аргументом, позволяющим изменять алгоритм псевдослучайной генерации (PRGA) при каждом вызове функции. Это делает его особенно запутанным и затрудняет его анализ. Зашифрованная полезная информация хранится в файле с именем Windows.damingvUI.GameBar.dat.

Ключевые технические детали

  • Возможно наличие зашифрованной конфигурации в реестре, в частности в разделе HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows и параметре appLoading.
  • Kivars проверяет наличие мьютекса, идентифицированного как uni-web-4e9621f.
  • Бэкдор анализирует, запущены ли определенные приложения безопасности, такие как TCPVIEW и WIRESHARK, в качестве родительских процессов.

Сетевое взаимодействие и управление

Kivars устанавливает сокетное соединение с сервером C2, расположенным по IP-адресу 212.115.54.194. Формат сообщения обратного вызова включает данные, относящиеся к конкретному компьютеру и пользователю. Кроме того, бэкдор может быть запрограммирован на выполнение по расписанию, скорее всего, определяемому его конфигурацией в реестре.

Исторический контекст

Интересно, что отметка о дате загрузки библиотеки DLL указывает на 25 декабря 2019 года, что говорит о том, что это более старая версия, которая, вероятно, была замечена в результате долгосрочных операций. Согласно предыдущим отчетам, в том числе от Trend Micro за 2020 год, Kivars имеет долгую историю в киберугрозах, возможно, начиная с 2010 года.

Заключение

Эти новые данные подчеркивают необходимость повышения уровня готовности организаций к потенциальным угрозам, связанным с бэкдорами, такими как Kivars, и делают ясным, что в киберпространстве продолжаются активные угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: