Ранее недокументированный "гибкий" бэкдор под названием Kapeka "спорадически" наблюдался в кибератаках, нацеленных на Восточную Европу, включая Эстонию и Украину, по крайней мере, с середины 2022 года.
Выводы получены от финской компании по кибербезопасности WithSecure, которая приписала вредоносное ПО связанной с Россией группе advanced persistent threat (APT), отслеживаемой как Sandworm (она же APT44 или Seashell Blizzard). Microsoft отслеживает ту же вредоносную программу под названием KnuckleTouch.
"Вредоносная программа [...] представляет собой гибкий бэкдор со всеми необходимыми функциональными возможностями, чтобы служить инструментарием на ранней стадии для своих операторов, а также обеспечивать долгосрочный доступ к имуществу жертвы", - сказал исследователь безопасности Мохаммад Казем Хассан Неджад.
Kapeka поставляется с дроппером, предназначенным для запуска и выполнения компонента бэкдора на зараженном хостинге, после чего он удаляется сам. Дроппер также отвечает за настройку персистентности для бэкдора либо как запланированной задачи, либо как автозапуска реестра, в зависимости от того, имеет ли процесс СИСТЕМНЫЕ привилегии.
Microsoft в своей собственной рекомендации, опубликованной в феврале 2024 года, описала Kapeka как участвующую в нескольких кампаниях, распространяющих программу-вымогатель, и что она может использоваться для выполнения различных функций, таких как кража учетных данных и других данных, проведение деструктивных атак и предоставление субъектам угрозы удаленного доступа к устройству.
Бэкдор представляет собой библиотеку DLL для Windows, написанную на C ++ и имеющую встроенную конфигурацию командования и управления (C2), которая используется для установления контакта с сервером, контролируемым участником, и содержит информацию о частоте, с которой сервер должен опрашиваться для получения команд.
Помимо маскировки под надстройку Microsoft Word, чтобы казаться подлинной, библиотека DLL backdoor собирает информацию о скомпрометированном хосте и реализует многопоточность для получения входящих инструкций, их обработки и передачи результатов выполнения на сервер C2.
"Бэкдор использует COM-интерфейс WinHTTP 5.1 (winhttpcom.dll) для реализации своего сетевого компонента связи", - объяснил Неджад. "Бэкдор взаимодействует со своим C2 для опроса задач и отправки обратно информации с отпечатками пальцев и результатов задач. Бэкдор использует JSON для отправки и получения информации со своего C2 ".
Имплантат также способен обновлять свою конфигурацию C2 "на лету", получая новую версию от сервера C2 во время опроса. Некоторые из основных функций бэкдора позволяют ему считывать и записывать файлы с диска и на него, запускать полезные нагрузки, выполнять команды командной строки и даже обновлять и деинсталлировать себя.
Точный метод, с помощью которого распространяется вредоносное ПО, в настоящее время неизвестен. Однако Microsoft отметила, что дроппер извлекается со скомпрометированных веб-сайтов с помощью утилиты certutil, что подчеркивает использование законного двоичного файла living-off-the-land (LOLBin) для организации атаки.
Связи Kapeka с Sandworm концептуальным образом и конфигурацией совпадают с ранее раскрытыми семействами, такими как GreyEnergy, вероятный преемник BlackEnergy toolkit, и Prestige.
"Вполне вероятно, что Kapeka использовалась при вторжениях, которые привели к развертыванию программы-вымогателя Prestige в конце 2022 года", - заявили в WithSecure. "Вполне вероятно, что Kapeka является преемником GreyEnergy, которая сама по себе, вероятно, была заменой BlackEnergy в арсенале Sandworm".
"Виктимология бэкдора, нечастые наблюдения, а также уровень скрытности и изощренности указывают на активность уровня APT, с высокой вероятностью российского происхождения".
Выводы получены от финской компании по кибербезопасности WithSecure, которая приписала вредоносное ПО связанной с Россией группе advanced persistent threat (APT), отслеживаемой как Sandworm (она же APT44 или Seashell Blizzard). Microsoft отслеживает ту же вредоносную программу под названием KnuckleTouch.
"Вредоносная программа [...] представляет собой гибкий бэкдор со всеми необходимыми функциональными возможностями, чтобы служить инструментарием на ранней стадии для своих операторов, а также обеспечивать долгосрочный доступ к имуществу жертвы", - сказал исследователь безопасности Мохаммад Казем Хассан Неджад.
Kapeka поставляется с дроппером, предназначенным для запуска и выполнения компонента бэкдора на зараженном хостинге, после чего он удаляется сам. Дроппер также отвечает за настройку персистентности для бэкдора либо как запланированной задачи, либо как автозапуска реестра, в зависимости от того, имеет ли процесс СИСТЕМНЫЕ привилегии.
Microsoft в своей собственной рекомендации, опубликованной в феврале 2024 года, описала Kapeka как участвующую в нескольких кампаниях, распространяющих программу-вымогатель, и что она может использоваться для выполнения различных функций, таких как кража учетных данных и других данных, проведение деструктивных атак и предоставление субъектам угрозы удаленного доступа к устройству.
Бэкдор представляет собой библиотеку DLL для Windows, написанную на C ++ и имеющую встроенную конфигурацию командования и управления (C2), которая используется для установления контакта с сервером, контролируемым участником, и содержит информацию о частоте, с которой сервер должен опрашиваться для получения команд.
Помимо маскировки под надстройку Microsoft Word, чтобы казаться подлинной, библиотека DLL backdoor собирает информацию о скомпрометированном хосте и реализует многопоточность для получения входящих инструкций, их обработки и передачи результатов выполнения на сервер C2.
"Бэкдор использует COM-интерфейс WinHTTP 5.1 (winhttpcom.dll) для реализации своего сетевого компонента связи", - объяснил Неджад. "Бэкдор взаимодействует со своим C2 для опроса задач и отправки обратно информации с отпечатками пальцев и результатов задач. Бэкдор использует JSON для отправки и получения информации со своего C2 ".
Имплантат также способен обновлять свою конфигурацию C2 "на лету", получая новую версию от сервера C2 во время опроса. Некоторые из основных функций бэкдора позволяют ему считывать и записывать файлы с диска и на него, запускать полезные нагрузки, выполнять команды командной строки и даже обновлять и деинсталлировать себя.
Точный метод, с помощью которого распространяется вредоносное ПО, в настоящее время неизвестен. Однако Microsoft отметила, что дроппер извлекается со скомпрометированных веб-сайтов с помощью утилиты certutil, что подчеркивает использование законного двоичного файла living-off-the-land (LOLBin) для организации атаки.
Связи Kapeka с Sandworm концептуальным образом и конфигурацией совпадают с ранее раскрытыми семействами, такими как GreyEnergy, вероятный преемник BlackEnergy toolkit, и Prestige.
"Вполне вероятно, что Kapeka использовалась при вторжениях, которые привели к развертыванию программы-вымогателя Prestige в конце 2022 года", - заявили в WithSecure. "Вполне вероятно, что Kapeka является преемником GreyEnergy, которая сама по себе, вероятно, была заменой BlackEnergy в арсенале Sandworm".
"Виктимология бэкдора, нечастые наблюдения, а также уровень скрытности и изощренности указывают на активность уровня APT, с высокой вероятностью российского происхождения".
