Uma "backdoor" anteriormente não documentada e "flexível" chamada Kapeka foi observada "esporadicamente" em ataques cibernéticos visando a Europa Oriental, incluindo Estônia e Ucrânia, desde pelo menos meados de 2022.
A descoberta vem da empresa finlandesa de cibersegurança WithSecure, que atribuiu o malware ao grupo de ameaça persistente avançada (APT) vinculado à Rússia, rastreado como Sandworm (também conhecido como APT44 ou Seashell Blizzard).
A Microsoft está rastreando o mesmo malware sob o nome KnuckleTouch.
"O malware [...] é uma backdoor flexível com todas as funcionalidades necessárias para servir como um kit de ferramentas de estágio inicial para seus operadores, e também para fornecer acesso de longo prazo ao patrimônio da vítima," disse o pesquisador de segurança Mohammad Kazem Hassan Nejad.
Kapeka vem equipada com um dropper que é projetado para lançar e executar um componente de backdoor no host infectado, após o qual ele se remove.
O dropper também é responsável por estabelecer a persistência para a backdoor, seja como uma tarefa agendada ou um registro de autorun, dependendo se o processo tem privilégios de SISTEMA.
A Microsoft, em seu próprio aviso lançado em fevereiro de 2024, descreveu Kapeka como envolvida em múltiplas campanhas distribuindo ransomware e que pode ser usada para realizar uma variedade de funções, como roubo de credenciais e outros dados, conduzindo ataques destrutivos e concedendo a atores de ameaças acesso remoto ao dispositivo.
A backdoor é uma DLL do Windows escrita em C++ e apresenta uma configuração embutida de command-and-control (C2) que é usada para estabelecer contato com um servidor controlado pelo ator e contém informações sobre a frequência com que o servidor precisa ser consultado para recuperar comandos.
Além de se disfarçar como um complemento do Microsoft Word para parecer genuíno, a DLL da backdoor coleta informações sobre o host comprometido e implementa multi-threading para buscar instruções de entrada, processá-las e exfiltrar os resultados da execução para o servidor C2.
"A backdoor usa a interface COM do WinHttp 5.1 (winhttpcom.dll) para implementar seu componente de comunicação de rede," Nejad explicou.
A backdoor se comunica com seu C2 para sondar tarefas e enviar informações digitalizadas e resultados de tarefas.
A backdoor utiliza JSON para enviar e receber informações de seu C2. O implante também é capaz de atualizar sua configuração de C2 em tempo real, recebendo uma nova versão do servidor C2 durante a sondagem.
Algumas das principais funcionalidades da backdoor permitem ler e escrever arquivos de e para o disco, lançar payloads úteis, executar comandos shell e até mesmo se atualizar e se desinstalar.
O método exato através do qual o malware é propagado atualmente é desconhecido.
No entanto, a Microsoft observou que o dropper é recuperado de sites comprometidos usando o utilitário certutil, destacando o uso de um legítimo living-off-the-land binary (LOLBin) para orquestrar o ataque.
As conexões de Kapeka com Sandworm vêm de sobreposições conceituais e de configuração com famílias anteriormente divulgadas como GreyEnergy, um provável sucessor do toolkit BlackEnergy, e Prestige.
"É provável que Kapeka tenha sido usada em intrusões que levaram ao deployment do ransomware Prestige no final de 2022," disse WithSecure.
É provável que Kapeka seja um sucessor de GreyEnergy, que por sua vez provavelmente foi uma substituição para BlackEnergy no arsenal de Sandworm.A vítimologia da backdoor, avistamentos infrequentes e nível de discrição e sofisticação indicam atividade de nível APT, muito provavelmente de origem russa.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...