Вредоносное ПО Kivars, связанное с группой BlackTech, отслеживается исследовательским сообществом примерно с 2010 года и представляет собой устоявшуюся и адаптирующуюся угрозу. Новые события 2025 года выявили несколько его вариантов и подтвердили, что операторы продолжают совершенствовать тактики для обхода средств детекции и длительного присутствия в целевых сетях — в первую очередь в организациях Японии и Тайваня.
Краткая история и предыдущие инциденты
За время наблюдений BlackTech демонстрировала широкий набор техник, включая задокументированные случаи использования бэкдоров в прошивке оборудования Cisco. Эти инциденты отражают тенденцию к использованию как традиционных векторов (файловые бэкдоры и службы Windows), так и менее очевидных точек опоры — например, злоупотребления прошивкой сетевых устройств.
Как работает Kivars
Механика типичной атаки с использованием Kivars включает несколько ступеней:
- Первичный компонент — загрузчик BlackTech — разворачивается в системе жертвы.
- Загрузчик помещает в системный каталог и свой собственный загрузчик, и зашифрованные файлы Kivars.
- Для закрепления злоумышленник создаёт службу Windows, обеспечивающую автозапуск.
- Затем запускается загрузчик Kivars, который разворачивает полезную нагрузку в памяти, что существенно снижает следы на диске.
- При запуске вредоносное ПО выполняет перечисление процессов, чтобы убедиться в отсутствии активных инструментов анализа и защиты — демонстрация высокой осведомлённости о своей среде.
«Kivars остаётся эффективным, избегая обнаружения аналитическими инструментами.»
Сетевые характеристики и каналы связи
На сетевом уровне зафиксировано, что Kivars обменивается данными преимущественно через порты 389 и 443 с внешними адресатами. Это указывает на намеренное использование широко распространённых сетевых каналов (LDAP-порт 389 и HTTPS-порт 443) для маскировки трафика управления и/или эксфильтрации данных.
Инструменты для анализа и открытые ресурсы
Для облегчения реагирования на инциденты и детального анализа конфигурации Kivars был разработан специализированный инструмент, позволяющий извлекать, расшифровывать и анализировать данные конфигурации прямо из его загрузчика. Этот инструмент доступен в общедоступном репозитории GitHub, что подчёркивает важность совместных ресурсов сообщества в противодействии постоянным угрозам.
Также в отчётах упоминается наличие нескольких файловых хэшей, связанных с Kivars и его вариантами загрузчика, что свидетельствует о разнообразии семейств и необходимости использования IOC в оперативной защите. (Конкретные хэши и индикаторы следует брать из доверенных источников и системой безопасности организации.)
Кому стоит быть особенно внимательным
- Организации и инфраструктурные объекты в Японии и Тайване — указаны как приоритетные цели.
- Предприятия с сетевым оборудованием Cisco — учитывая прецеденты с бэкдорами в прошивке.
- Организации, где критичны удалённый доступ и долгое содержание присутствия в сети (insider persistence).
Рекомендации по защите и реагированию
Рекомендуемые меры для снижения риска и улучшения обнаружения:
- Мониторинг и корреляция сетевого трафика на портах 389 и 443, включая инспекцию SSL/TLS и аномалий поведения.
- Проверка целостности прошивок и регулярный аудит сетевого оборудования (особенно Cisco), внедрение процедур secure boot и подписанных прошивок.
- Настройка EDR/EDR-приборов для обнаружения нетипичных служб Windows и загрузчиков, разворачивающих полезную нагрузку в памяти.
- Ограничение исходящих соединений (egress filtering) и применение политики наименьших привилегий для служб.
- Использование Threat Intelligence и регулярное обновление IOC (файловые хэши, домены, адреса), а также проверка репозитория GitHub с инструментом для извлечения конфигурации Kivars.
- Проведение тренировок по реагированию на инциденты и сценариев восстановления с учётом memory-only persistence.
Заключение
Kivars демонстрирует типичный для целевых APT-групп набор характеристик: длительное присутствие, эволюция техник и стремление к скрытности. Наличие открытого инструмента для анализа и общественного обмена данными — важный ресурс, но основная защита требует сочетания проактивного мониторинга, управления прошивками, жёсткой сетевой политики и своевременного реагирования на инциденты. Для организаций в зонах повышенного риска (в первую очередь в Японии и Тайване) необходим повышенный уровень готовности и обмен информацией с профильными сообществами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Kivars и BlackTech: бэкдоры Cisco угрожают Японии и Тайваню".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.