长亭百川云 - 文章详情

俄罗斯APT组织部署新型“Kapeka”后门

CodeAnalyzer Ultra

49

2024-07-13

引言

自2022年开始,俄乌冲突已经持续了两年之久,显然,在现代化战争中,信息战已然成为重中之重。与此同时,一种新型的 "flexible" 后门程序 Kapeka 被发现。

这些发现由一家芬兰网络安全公司WithSecure披露,该公司认为这与俄罗斯的APT组织Sandworm(又名APT44或Seashell Blizzard)高度相关。另外,微软也在追踪该恶意后门,并将该项活动命名为KnuckleTouch

知名安全研究员Mohammad Kazem Hassan Nejad 表示:

该恶意软件是一个非常灵活的后门程序,其功能极其完善,其可作为攻击者的入门工具包,同时可以对目标群体实现长期的访问控制

Kapeka后门介绍

Kapeka配备了一个安装程序,该安装程序可以在被感染的主机上启动并执行后门组件,然后自行移除。另外,如果进程具有SYSTEM权限,该安装程序还可以自动更改计划任务和注册表,以实现对目标的持久控制。

微软在其2024年2月发布的报告中,描述了Kapeka参与了多个分发勒索软件的活动,并且它可以被用来执行各种功能,如窃取凭证和其他数据、进行破坏性攻击以及授予攻击者对设备的远程访问

Kapeka后门特点

该后门是一个用C++编写的Windows DLL,包含一个嵌入式命令与控制(C2)配置,用于与攻击者控制的服务器建立联系,并存储访问服务器的频率信息。

除了伪装成一个Word插件外,该后门DLL还收集被攻击主机的信息,并实现多线程来获取传入指令、处理指令并将执行结果传给C2服务器。

Nejad解释说:

该后门使用WinHttp 5.1 COM接口(winhttpcom.dll)实现其网络通信组件。后门与C2通信以轮询任务并发送回指纹信息和任务结果。该后门与C2服务器的通信格式为JSON

Kapeka后门的离谱之处

  • 能够在轮询期间通过接收来自C2服务器的新版本来即时更新其C2配置

  • 读写磁盘上的文件

  • 启动有效负载

  • 执行shell命令

  • 自我升级和卸载

Kapeka后门的传播方式

目前尚不清楚后门的传播方式。微软指出,其是利用certutil utility程序从被入侵的网站分发的,其使用合法的living-off-the-landLOLBin)来辅助攻击。

追溯Kapeka后门

Kapeka与之前披露的GreyEnergy家族高度相似,GreyEnergy很可能是BlackEnergy工具包的后继者。

WithSecure表示:

Kapeka很可能被用于2022年底的勒索软件Prestige中。Kapeka很可能是GreyEnergy的继任者,而GreyEnergy本身很可能是Sandworm武器库中BlackEnergy的替代品。

该后门的目标选择、罕见的出现频率以及其隐蔽性和复杂性的水平表明这是APT级别的活动,极有可能源自俄罗斯。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2