KingOfHearts

KingOfHearts ist eine in C ++ geschriebene Hintertür, die Teil des Toolset eines unbenannten hoch entwickelten Bedrohungsakteurs ist. Es wurde beobachtet, dass dieselbe Gruppe von Hackern drei verschiedene Malware-Familien in ihren Operationen verwendet. Eine solche Familie namens SlothfulMedia war Gegenstand eines Berichts, der von der CISA-Agentur des Heimatschutzministeriums veröffentlicht wurde.

Im Kern ist KingOfHearts mit allen grundlegenden Funktionen ausgestattet, die von einer Backdoor-Bedrohung erwartet werden, ohne dass etwas Besonderes dabei ist. Es gibt jedoch ein benutzerdefiniertes Dienstprogramm zum Aufnehmen von Screenshots. Abgesehen davon kann es Befehle auf dem gefährdeten Computer ausführen, auf die Liste der ausgeführten Prozesse zugreifen und die Option zum Beenden eines dieser Befehle sowie über Funktionen zur Manipulation des Dateisystems verfügen.

KingOfHearts wird höchstwahrscheinlich durch E-Mail-Phishing-Angriffe mit vergifteten Word-Dokumentanhängen verbreitet. Nach der Ausführung initiieren diese Dokumente ein PowerShell-Skript, das mit dem Herunterladen eines Images beauftragt ist, das eine Base-64-codierte Malware-Nutzlast enthält. Es wurde beobachtet, dass KingOfHearts sowohl als " .exe " - als auch als " .dll " -Datei bereitgestellt wird. Die Kommunikation mit der Command-and-Control-Infrastruktur (C2, C & C) wird über HTTP (S) hergestellt.

Laut den Forschern, die es analysiert haben, ist KingOfHearts mit Anti-Debugging- und Virtualisierungserkennungsfunktionen ausgestattet.