NimImplant
Nim プログラミング言語で書かれたインプラント/バックドア。 MinGW-W64 は GCC でコンパイルされ、winim ライブラリのおかげで Windows API 呼び出しを行います。 SetThreadContextによるスレッドインジェクション、BCryptGenRandomによる暗号化通信、WSAID_CONNECTEXによるTCP C2のオーバーラップ。 20PEセクション構造による耐解析性。 AV 検出を回避するために、Nim が選択される言語になっています。
脅威プロファイル
タイプ
Backdoor
プログラミング言語Nim
C2プロトコルTCP
初回検出2023
標的
Kurumsal/Kuresel
目的 / 機能
- バックドア/プロセスインジェクション/暗号化C2
このファミリーのC2サーバーはまだ確認されていません。
リサーチレポート (1)
NimImplant 11ddebd9 -- Nim MinGW GCC x64 SetThreadContext BCryptGenRandom WSAID_CONNECTEX 20-section winim Process-Injection CNG | Yuksek
NimImplant 11ddebd9 Nim + MinGW-W64 GCC 11.1. SetThreadContext thread injection. BCryptGenRandom CNG. WSAID_CONNECTEX overlapped TCP. 20 PE section. winim assembly. TLS anti-debug.
レポートを読む →