自2022年开始,俄乌冲突已经持续了两年之久,显然,在现代化战争中,信息战已然成为重中之重。与此同时,一种新型的 "flexible" 后门程序 Kapeka 被发现。
这些发现由一家芬兰网络安全公司WithSecure披露,该公司认为这与俄罗斯的APT组织Sandworm(又名APT44或Seashell Blizzard)高度相关。另外,微软也在追踪该恶意后门,并将该项活动命名为KnuckleTouch。
知名安全研究员Mohammad Kazem Hassan Nejad 表示:
该恶意软件是一个非常灵活的后门程序,其功能极其完善,其可作为攻击者的入门工具包,同时可以对目标群体实现长期的访问控制。
Kapeka配备了一个安装程序,该安装程序可以在被感染的主机上启动并执行后门组件,然后自行移除。另外,如果进程具有SYSTEM权限,该安装程序还可以自动更改计划任务和注册表,以实现对目标的持久控制。
微软在其2024年2月发布的报告中,描述了Kapeka参与了多个分发勒索软件的活动,并且它可以被用来执行各种功能,如窃取凭证和其他数据、进行破坏性攻击以及授予攻击者对设备的远程访问。
该后门是一个用C++编写的Windows DLL,包含一个嵌入式命令与控制(C2)配置,用于与攻击者控制的服务器建立联系,并存储访问服务器的频率信息。
除了伪装成一个Word插件外,该后门DLL还收集被攻击主机的信息,并实现多线程来获取传入指令、处理指令并将执行结果传给C2服务器。
Nejad解释说:
该后门使用WinHttp 5.1 COM接口(winhttpcom.dll)实现其网络通信组件。后门与C2通信以轮询任务并发送回指纹信息和任务结果。该后门与C2服务器的通信格式为JSON。
能够在轮询期间通过接收来自C2服务器的新版本来即时更新其C2配置
读写磁盘上的文件
启动有效负载
执行shell命令
自我升级和卸载
目前尚不清楚后门的传播方式。微软指出,其是利用certutil utility
程序从被入侵的网站分发的,其使用合法的living-off-the-land
(LOLBin)来辅助攻击。
Kapeka与之前披露的GreyEnergy家族高度相似,GreyEnergy很可能是BlackEnergy工具包的后继者。
WithSecure表示:
Kapeka很可能被用于2022年底的勒索软件Prestige中。Kapeka很可能是GreyEnergy的继任者,而GreyEnergy本身很可能是Sandworm武器库中BlackEnergy的替代品。
该后门的目标选择、罕见的出现频率以及其隐蔽性和复杂性的水平表明这是APT级别的活动,极有可能源自俄罗斯。