Koi представляет собой значительную эволюцию по сравнению с более ранним вредоносным ПО KPOT, переходя от общедоступной модели к более эксклюзивному, контролируемому ландшафту угроз. Этот переход усложняет обнаружение, расследование и атрибуцию атак, особенно для организаций, в которых используются популярные мессенджеры, игровые клиенты и криптовалютные приложения.
Краткая предыстория
Исходный код KPOT впервые появился на форумах BlackHat в 2018 году. Позднее код был продан на аукционе UNKN физическому лицу, связанному с группой REvil, что положило начало приватизации и дальнейшей переработке проекта. В результате этой трансформации появилось семейство Koi, которое, по сути, не является простой ребрендинг-версией KPOT, а представляет собой обновлённую, модульную структуру вредоносного ПО.
«Koi является не просто ребрендированной версией KPOT, а скорее обновленной и модульной структурой вредоносного ПО.»
Архитектура и ключевые компоненты
Koi работает на платформе Windows и состоит из трёх основных компонентов, каждый из которых выполняет чётко определённые функции:
- KoiLoader — двоичный файл на C++, ответственный за начальную загрузку. Он использует методы шифрования для сокрытия своей деятельности, динамически разрешает вызовы Windows API через пользовательский алгоритм хэширования и расшифровывает последующую полезную нагрузку.
- KoiBackdoor — расшифровываемая и загружаемая KoiLoader компонента. Проводит предварительную проверку окружения (включая определение, находится ли система в составе Содружества Независимых Государств, и запущена ли в виртуальной среде). Выполняет роль менеджера: передаёт полезную нагрузку KoiStealer и принимает дополнительные команды от злоумышленников.
- KoiStealer — основная полезная нагрузка, реализованная на .NET. Отвечает за сбор учётных данных и других данных, загрузку и исполнение дополнительных модулей, а также целевую эксфильтрацию файлов.
Поведенческие особенности и тактики скрытности
- Ориентация на конкретные приложения, связанные с кражей учётных данных: мессенджеры, клиенты онлайн-игр, криптовалютные приложения.
- Динамическое разрешение API с использованием пользовательского хэширования — усложняет статический анализ и сигнатурное обнаружение.
- Проверки окружения (географические/языковые, виртуализация) — механизм «отсечки» неподходящих для злоумышленников целей и анализаторов.
- Снижение следов на диске: обработка и фильтрация данных преимущественно в памяти, что уменьшает количество физических логов и артефактов.
Мультиплатформенность: появление KoiFusion для macOS
Семейство Koi расширило своё влияние и на macOS. Вариант, известный как KoiFusion, впервые зафиксирован примерно в марте 2025 года. Это подчёркивает адаптивность проекта: архитектура и методы взаимодействия с C2 имеют общие черты как в Windows-, так и в macOS-вариантах.
Оба варианта включают проверку языка операционной системы хоста, однако поведение по умолчанию при проверке языка может различаться. Несмотря на платформенные различия, сохраняется согласованная структура управления и связи с инфраструктурой злоумышленников.
Последствия для ландшафта кибербезопасности
Эволюция от публичного KPOT к приватному, модульному Koi указывает на несколько важных тенденций угроз:
- Сдвиг в сторону более закрытых, коммерчески управляемых или «по приглашениям» экосистем вредоносного ПО, что делает их менее заметными и труднее отслеживаемыми.
- Комплексная модульная архитектура упрощает адаптацию к новым целям и платформам, повышая устойчивость кампаний злоумышленников.
- Тактики уменьшения следов (в памяти, проверки окружения) усложняют обнаружение традиционными средствами безопасности и затрудняют атрибуцию.
Рекомендации для организаций
Учитывая особенности Koi и его родственников, экспертная защита должна учитывать следующие практики:
- Усилить мониторинг поведения процессов и подозрительных механизмов динамического разрешения API, а также обращений, типичных для загрузчиков.
- Развернуть и настроить EDR/IDS, способные обнаруживать паттерны команд и аномалии в памяти, а не только на диске.
- Ограничивать распространение привилегированных учётных данных и использовать многофакторную аутентификацию в критичных приложениях (особенно в мессенджерах, игровых клиентах и крипто-кошельках).
- Обмениваться показателями угроз и индикаторами компрометации (IoC) между организациями и сообществами для повышения коллективной осведомлённости.
Вывод
Koi демонстрирует, как оригинальные публичные проекты превращаются в более скрытные, модульные и адаптируемые угрозы. Появление мультиплатформенных вариантов, таких как KoiFusion, и внедрение методов, снижающих видимость следов на диске, делают эту семейство вредоносного ПО особенно опасным. Для противодействия необходима комбинированная стратегия — от улучшения инструментов мониторинга до оперативного обмена информацией между секторами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Koi: модульный мультиплатформенный стиллер, эволюция угрозы KPOT".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.