俄罗斯APT组织部署新型“Kapeka”后门

引言

自2022年开始，俄乌冲突已经持续了两年之久，显然，在现代化战争中，信息战已然成为重中之重。与此同时，一种新型的 "flexible" 后门程序 Kapeka 被发现。

这些发现由一家芬兰网络安全公司WithSecure披露，该公司认为这与俄罗斯的APT组织Sandworm（又名APT44或Seashell Blizzard）高度相关。另外，微软也在追踪该恶意后门，并将该项活动命名为KnuckleTouch。

知名安全研究员Mohammad Kazem Hassan Nejad 表示:

该恶意软件是一个非常灵活的后门程序，其功能极其完善，其可作为攻击者的入门工具包，同时可以对目标群体实现长期的访问控制。

Kapeka配备了一个安装程序，该安装程序可以在被感染的主机上启动并执行后门组件，然后自行移除。另外，如果进程具有SYSTEM权限，该安装程序还可以自动更改计划任务和注册表，以实现对目标的持久控制。

微软在其2024年2月发布的报告中，描述了Kapeka参与了多个分发勒索软件的活动，并且它可以被用来执行各种功能，如窃取凭证和其他数据、进行破坏性攻击以及授予攻击者对设备的远程访问。

该后门是一个用C++编写的Windows DLL，包含一个嵌入式命令与控制（C2）配置，用于与攻击者控制的服务器建立联系，并存储访问服务器的频率信息。

除了伪装成一个Word插件外，该后门DLL还收集被攻击主机的信息，并实现多线程来获取传入指令、处理指令并将执行结果传给C2服务器。

Nejad解释说：

该后门使用WinHttp 5.1 COM接口（winhttpcom.dll）实现其网络通信组件。后门与C2通信以轮询任务并发送回指纹信息和任务结果。该后门与C2服务器的通信格式为JSON。

目前尚不清楚后门的传播方式。微软指出，其是利用certutil utility程序从被入侵的网站分发的，其使用合法的living-off-the-land（LOLBin）来辅助攻击。

Kapeka与之前披露的GreyEnergy家族高度相似，GreyEnergy很可能是BlackEnergy工具包的后继者。

WithSecure表示：

Kapeka很可能被用于2022年底的勒索软件Prestige中。Kapeka很可能是GreyEnergy的继任者，而GreyEnergy本身很可能是Sandworm武器库中BlackEnergy的替代品。

该后门的目标选择、罕见的出现频率以及其隐蔽性和复杂性的水平表明这是APT级别的活动，极有可能源自俄罗斯。