Grupo APT Russo Utiliza Novo Backdoor 'Kapeka' em Ataques na Europa Oriental
18 de Abril de 2024

Uma "backdoor" anteriormente não documentada e "flexível" chamada Kapeka foi observada "esporadicamente" em ataques cibernéticos visando a Europa Oriental, incluindo Estônia e Ucrânia, desde pelo menos meados de 2022.

A descoberta vem da empresa finlandesa de cibersegurança WithSecure, que atribuiu o malware ao grupo de ameaça persistente avançada (APT) vinculado à Rússia, rastreado como Sandworm (também conhecido como APT44 ou Seashell Blizzard).

A Microsoft está rastreando o mesmo malware sob o nome KnuckleTouch.

"O malware [...] é uma backdoor flexível com todas as funcionalidades necessárias para servir como um kit de ferramentas de estágio inicial para seus operadores, e também para fornecer acesso de longo prazo ao patrimônio da vítima," disse o pesquisador de segurança Mohammad Kazem Hassan Nejad.

Kapeka vem equipada com um dropper que é projetado para lançar e executar um componente de backdoor no host infectado, após o qual ele se remove.

O dropper também é responsável por estabelecer a persistência para a backdoor, seja como uma tarefa agendada ou um registro de autorun, dependendo se o processo tem privilégios de SISTEMA.

A Microsoft, em seu próprio aviso lançado em fevereiro de 2024, descreveu Kapeka como envolvida em múltiplas campanhas distribuindo ransomware e que pode ser usada para realizar uma variedade de funções, como roubo de credenciais e outros dados, conduzindo ataques destrutivos e concedendo a atores de ameaças acesso remoto ao dispositivo.

A backdoor é uma DLL do Windows escrita em C++ e apresenta uma configuração embutida de command-and-control (C2) que é usada para estabelecer contato com um servidor controlado pelo ator e contém informações sobre a frequência com que o servidor precisa ser consultado para recuperar comandos.

Além de se disfarçar como um complemento do Microsoft Word para parecer genuíno, a DLL da backdoor coleta informações sobre o host comprometido e implementa multi-threading para buscar instruções de entrada, processá-las e exfiltrar os resultados da execução para o servidor C2.

"A backdoor usa a interface COM do WinHttp 5.1 (winhttpcom.dll) para implementar seu componente de comunicação de rede," Nejad explicou.

A backdoor se comunica com seu C2 para sondar tarefas e enviar informações digitalizadas e resultados de tarefas.

A backdoor utiliza JSON para enviar e receber informações de seu C2. O implante também é capaz de atualizar sua configuração de C2 em tempo real, recebendo uma nova versão do servidor C2 durante a sondagem.

Algumas das principais funcionalidades da backdoor permitem ler e escrever arquivos de e para o disco, lançar payloads úteis, executar comandos shell e até mesmo se atualizar e se desinstalar.

O método exato através do qual o malware é propagado atualmente é desconhecido.

No entanto, a Microsoft observou que o dropper é recuperado de sites comprometidos usando o utilitário certutil, destacando o uso de um legítimo living-off-the-land binary (LOLBin) para orquestrar o ataque.

As conexões de Kapeka com Sandworm vêm de sobreposições conceituais e de configuração com famílias anteriormente divulgadas como GreyEnergy, um provável sucessor do toolkit BlackEnergy, e Prestige.

"É provável que Kapeka tenha sido usada em intrusões que levaram ao deployment do ransomware Prestige no final de 2022," disse WithSecure.

É provável que Kapeka seja um sucessor de GreyEnergy, que por sua vez provavelmente foi uma substituição para BlackEnergy no arsenal de Sandworm.A vítimologia da backdoor, avistamentos infrequentes e nível de discrição e sofisticação indicam atividade de nível APT, muito provavelmente de origem russa.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...