La firma finlandesa de ciberseguridad WithSecure descubre la puerta trasera Kapeka en ataques cibernéticos dirigidos a Europa del Este, incluyendo Estonia y Ucrania, desde mediados de 2022. El malware es atribuido al grupo de amenaza persistente avanzada (APT) vinculado a Rusia, Sandworm (también conocido como APT44 o Seashell Blizzard), y rastreado por Microsoft como KnuckleTouch. Kapeka es una puerta trasera flexible que permite a los operadores tener acceso a largo plazo a la propiedad de la víctima y realizar una variedad de funciones, como robar credenciales y otros datos, realizar ataques destructivos y otorgar acceso remoto a los atacantes.
La puerta trasera es una DLL de Windows escrita en C ++ y cuenta con una configuración de control y comando incrustada que se utiliza para establecer contacto con un servidor controlado por el actor y contiene información sobre la frecuencia a la que se debe sondear el servidor para recuperar comandos. Además de fingir ser un complemento de Microsoft Word para hacerlo parecer genuino, Kapeka puede actualizar su configuración C2 en tiempo real al recibir una nueva versión del servidor C2 durante el sondeo.
Microsoft señaló que el dropper se recupera de sitios web comprometidos utilizando la utilidad certutil, lo que subraya el uso de un binario legítimo (LOLBin) para orquestar el ataque. WithSecure sugiere que Kapeka es sucesora de GreyEnergy, que a su vez era probablemente un reemplazo de BlackEnergy en el arsenal de Sandworm. La actividad de Kapeka indica actividad de nivel APT, muy probablemente de origen ruso.
Vía The Hacker News
