Grupo APT Russo Utiliza Novo Backdoor 'Kapeka' em Ataques na Europa Oriental
18 de Abril de 2024

Uma "backdoor" anteriormente não documentada e "flexível" chamada Kapeka foi observada "esporadicamente" em ataques cibernéticos visando a Europa Oriental, incluindo Estônia e Ucrânia, desde pelo menos meados de 2022.

A descoberta vem da empresa finlandesa de cibersegurança WithSecure, que atribuiu o malware ao grupo de ameaça persistente avançada (APT) vinculado à Rússia, rastreado como Sandworm (também conhecido como APT44 ou Seashell Blizzard).

A Microsoft está rastreando o mesmo malware sob o nome KnuckleTouch.

"O malware [...] é uma backdoor flexível com todas as funcionalidades necessárias para servir como um kit de ferramentas de estágio inicial para seus operadores, e também para fornecer acesso de longo prazo ao patrimônio da vítima," disse o pesquisador de segurança Mohammad Kazem Hassan Nejad.

Kapeka vem equipada com um dropper que é projetado para lançar e executar um componente de backdoor no host infectado, após o qual ele se remove.

O dropper também é responsável por estabelecer a persistência para a backdoor, seja como uma tarefa agendada ou um registro de autorun, dependendo se o processo tem privilégios de SISTEMA.

A Microsoft, em seu próprio aviso lançado em fevereiro de 2024, descreveu Kapeka como envolvida em múltiplas campanhas distribuindo ransomware e que pode ser usada para realizar uma variedade de funções, como roubo de credenciais e outros dados, conduzindo ataques destrutivos e concedendo a atores de ameaças acesso remoto ao dispositivo.

A backdoor é uma DLL do Windows escrita em C++ e apresenta uma configuração embutida de command-and-control (C2) que é usada para estabelecer contato com um servidor controlado pelo ator e contém informações sobre a frequência com que o servidor precisa ser consultado para recuperar comandos.

Além de se disfarçar como um complemento do Microsoft Word para parecer genuíno, a DLL da backdoor coleta informações sobre o host comprometido e implementa multi-threading para buscar instruções de entrada, processá-las e exfiltrar os resultados da execução para o servidor C2.

"A backdoor usa a interface COM do WinHttp 5.1 (winhttpcom.dll) para implementar seu componente de comunicação de rede," Nejad explicou.

A backdoor se comunica com seu C2 para sondar tarefas e enviar informações digitalizadas e resultados de tarefas.

A backdoor utiliza JSON para enviar e receber informações de seu C2. O implante também é capaz de atualizar sua configuração de C2 em tempo real, recebendo uma nova versão do servidor C2 durante a sondagem.

Algumas das principais funcionalidades da backdoor permitem ler e escrever arquivos de e para o disco, lançar payloads úteis, executar comandos shell e até mesmo se atualizar e se desinstalar.

O método exato através do qual o malware é propagado atualmente é desconhecido.

No entanto, a Microsoft observou que o dropper é recuperado de sites comprometidos usando o utilitário certutil, destacando o uso de um legítimo living-off-the-land binary (LOLBin) para orquestrar o ataque.

As conexões de Kapeka com Sandworm vêm de sobreposições conceituais e de configuração com famílias anteriormente divulgadas como GreyEnergy, um provável sucessor do toolkit BlackEnergy, e Prestige.

"É provável que Kapeka tenha sido usada em intrusões que levaram ao deployment do ransomware Prestige no final de 2022," disse WithSecure.

É provável que Kapeka seja um sucessor de GreyEnergy, que por sua vez provavelmente foi uma substituição para BlackEnergy no arsenal de Sandworm.A vítimologia da backdoor, avistamentos infrequentes e nível de discrição e sofisticação indicam atividade de nível APT, muito provavelmente de origem russa.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...