Группа хакеров BlackTech, связанная с Китаем, продолжает активно развивать свое основное средство атак - вредоносную программу Kivars. В 2025 году эксперты обнаружили новую версию этого вредоносного ПО, получившую обозначение 2120.1, которая демонстрирует значительные изменения в архитектуре и функциональности.
Описание
Kivars используется группировкой BlackTech с примерно 2010 года и традиционно нацелен на организации Японии и Тайваня. По данным японской Национальной полиции, эта группа представляет серьезную угрозу, о чем свидетельствуют недавние атаки с использованием прошивки Cisco с бэкдором.
Технические улучшения в новой версии
Версия 2120.1 демонстрирует существенные отличия от предыдущей итерации 20.0.12. Наиболее значимым нововведением стала возможность работы через прокси-серверы для коммуникации с командными центрами (C2). Это улучшает скрытность вредоносной программы, затрудняя ее обнаружение сетевыми системами защиты.
Модифицированный алгоритм шифрования представляет особый интерес для исследователей. BlackTech использует кастомизированную версию RC4, где помимо стандартного ключа применяется дополнительное числовое значение. Такой подход усложняет анализ и дешифровку конфигурационных данных.
Механизм загрузки и постоянства
Kivars использует сложный многоэтапный процесс выполнения. Злоумышленники размещают загрузчик и зашифрованный файл данных в системных каталогах скомпрометированного компьютера. Для обеспечения постоянства создается служба Windows, которая при запуске активирует загрузчик Kivars. После выполнения ряда проверок загрузчик дешифрует и исполняет основную вредоносную нагрузку в памяти.
Интересной особенностью является использование файлов с расширением .efi, хотя они не имеют отношения к стандартным файлам прошивки UEFI. Эксперты предполагают, что это попытка маскировки под легитные системные файлы.
Усовершенствованные механизмы скрытности
Kivars демонстрирует сложное поведение, характерное для современных целевых атак. Программа проверяет список запущенных процессов на наличие инструментов анализа, что затрудняет исследование в лабораторных условиях. Также реализована функция ограничения активности по времени, позволяющая выполнять коммуникацию с C2 только в определенные периоды, что снижает вероятность обнаружения в рабочее время организации.
Обнаруженная аномалия в обработке учетных данных прокси-сервера указывает на возможную ошибку разработчиков. Имя пользователя подвергалось двойному шифрованию, в то время как пароль хранился в открытом виде. Эта несостыковка может быть полезной для исследователей при анализе других образцов.
Функциональные возможности
Kivars обладает широким набором команд для удаленного управления. Среди ключевых функций: сбор информации о системе, управление файлами и каталогами, загрузка данных, выполнение процессов и команды для удаленной оболочки. Особый интерес представляет команда 0xC1, которая обеспечивает самостоятельное удаление вредоносной программы с очисткой связанных файлов и служб.
Анализ пути удаления файлов подтверждает, что Kivars предназначен для использования после получения привилегий администратора, поскольку операция удаления жестко завязана на системные каталоги.
Постоянное развитие Kivars демонстрирует высокую адаптивность группировки BlackTech к мерам защиты. Организациям, особенно в регионах традиционного интереса этой группы, рекомендуется усилить мониторинг сетевой активности и обращать особое внимание на подозрительные файлы в системных каталогах.
Индикаторы компрометации
IPv4
- 203.69.85.116
- 211.23.39.236
- 211.72.113.90
- 59.124.69.100
- 59.125.155.4
- 59.125.249.97
- 60.249.28.219
- 61.216.160.181
- 61.220.223.64
Domains
- account-login.dnset.com
- affiliates.justdied.com
- certificates.onedumb.com
- checkout.ikwb.com
- exchange.justdied.com
- isacompany.isasecret.com
- roaming.otzo.com
- skyworld.gettrials.com
- sysnet.zzux.com
SHA256
- 073480ac4abd6e0127aba00accbfc4f4caa470b2df24c3a6ed8d1ac8d184b0da
- 0957bb8c01bb706b5b2b7744169b44244d8cbaa30504dd957e21f0fe1d78d95f
- 2b54e557101e778f5971b0904d297b1c57da48c4f27d261c4ccbeee79a503ee9
- 35efb2661b580866ef9a29770ff960c105edb1239a5d4279e7e6b4e9f9b6256a
- 40e1960d129bd83bcc90c61aed8da26784cb8b03eb046ecf8d172419cb1707b2
- 4d1cdfff1b7e156c4c55f22d4dd33155b44f22dccb19069c154fc1fa0172506d
- 59d67814157e262417c7f9cf90ab9dd40fb18c4ecf4aa5ed2595190f81873b6e
- 5a9f96217530b68c2fc7a06f25b52062dbcc8dd2760de0f7dca3456af2dc4bec
- 7b2d050eafca7d52a450c935805ab587e21311b590d635e1dd08c2c312497f16
- c1366506b03bccd50eff6b694e4d6f3897d7cc7c61f8b7a9029efe901d5a79d7
- c46834d9e5e23032e9d5dbf8095dbdc4f0db4eff8ea08da670d36cf6145bf965
- e36a71b1cdbec345896b71349dfbf95709af899517ea890ecb9065907643f74b
