Возрождение IAMTHEKING: новая угроза в киберпространстве

В последние месяцы внимание специалистов по кибербезопасности привлекло возрождение азиатской хакерской группировки IAMTHEKING, более известной как PowerPool. Данная группировка, действующая с 2014 года, вновь проявила активность, что вызывает серьезные опасения у аналитиков. В этом контексте исследователи выделили связь между IAMTHEKING и другой известной группой, Упрямыми Могваями, касающуюся новых версий их бэкдора Kingofhearts, который теперь получил название .NET KINGOFHEARTS.
Характеристики .NET KINGOFHEARTS
Анализ новых версий бэкдора показывает, что .NET KINGOFHEARTS обладает модульной архитектурой, значительно отличающейся от его предшественников. Основные особенности нового бэкдора:
- Разработка велась с конца 2022 года.
- Использование в инцидентах, зафиксированных в конце 2023 года.
- Поддержка клиентских и C2-модулей.
- Компонент Metamodul Modulehandle управляет загрузкой модулей прямо в память, избегая сохранения на диск.
Методы связи и компоненты
Критически важным для работы .NET KINGOFHEARTS является использование сложных методов взаимодействия с инфраструктурой управления (C2). Бэкдор использует формат JSON для обмена данными. Ключевые библиотеки, вовлеченные в процесс, включают:
- Jumpkick_httplib
- Litjson — устаревшая версия, разработанная в 2014 году, что вызывает вопросы о причинах её использования в современных кибероперациях.
В процессе выполнения .NET KINGOFHEARTS постоянно взаимодействует с C2, получая команды и модули, загружаемые в память с помощью сложного процесса, что позволяет избежать использования файловой системы. Система обработки команд включает в себя множество асинхронных задач и использует протокол HTTP для передачи данных, сохраняя некоторые старые методы работы, характерные для предыдущих версий.
Заключение
Возрождение IAMTHEKING и их новый бэкдор .NET KINGOFHEARTS подчеркивает необходимость повышения бдительности как со стороны компаний, так и со стороны пользователей. Устаревшие компоненты, использующиеся в современных атаках, напоминают о сложностях кибербезопасности и о том, что даже старый код может оставаться угрозой в руках злоумышленников.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



