Một backdoor "linh hoạt" không xác định trước đây có tên Kapeka đã được quan sát "lẻ tẻ" trong các cuộc tấn công mạng nhắm vào Đông Âu, bao gồm Estonia và Ukraine, kể từ ít nhất là giữa năm 2022.
Những phát hiện này đến từ công ty an ninh mạng Phần Lan WithSecure, cho rằng phần mềm độc hại này là do nhóm mối đe dọa dai dẳng tiên tiến (APT) liên kết với Nga được theo dõi là Sandworm (hay còn gọi là APT44 hoặc Seashell Blizzard). Microsoft đang theo dõi cùng một phần mềm độc hại dưới tên KnuckleTouch.
"Phần mềm độc hại [...] là một backdoor linh hoạt với tất cả các chức năng cần thiết để phục vụ như một bộ công cụ giai đoạn đầu cho các nhà khai thác của nó, và cũng để cung cấp quyền truy cập lâu dài vào tài sản của nạn nhân", nhà nghiên cứu bảo mật Mohammad Kazem Hassan Nejad cho biết.
Kapeka được trang bị một ống nhỏ giọt được thiết kế để khởi chạy và thực thi một thành phần cửa hậu trên máy chủ bị nhiễm, sau đó nó tự loại bỏ. Trình nhỏ giọt cũng chịu trách nhiệm thiết lập sự kiên trì cho backdoor dưới dạng tác vụ theo lịch trình hoặc đăng ký tự động chạy, tùy thuộc vào việc quy trình có đặc quyền HỆ THỐNG hay không.
Microsoft, trong tư vấn riêng được phát hành vào tháng 2/2024, đã mô tả Kapeka tham gia vào nhiều chiến dịch phân phối ransomware và nó có thể được sử dụng để thực hiện nhiều chức năng khác nhau, chẳng hạn như đánh cắp thông tin đăng nhập và dữ liệu khác, tiến hành các cuộc tấn công phá hoại và cấp cho các tác nhân đe dọa quyền truy cập từ xa vào thiết bị.
Backdoor là một DLL Windows được viết bằng C ++ và có cấu hình lệnh và điều khiển nhúng (C2) được sử dụng để thiết lập liên lạc với máy chủ do tác nhân điều khiển và giữ thông tin về tần suất mà máy chủ cần được thăm dò để truy xuất lệnh.
"Backdoor sử dụng giao diện WinHttp 5.1 COM (winhttpcom.dll) để triển khai thành phần truyền thông mạng của nó", Nejad giải thích. "Backdoor liên lạc với C2 của nó để thăm dò ý kiến cho các nhiệm vụ và gửi lại thông tin dấu vân tay và kết quả nhiệm vụ. Backdoor sử dụng JSON để gửi và nhận thông tin từ C2 của nó.
Bộ cấy cũng có khả năng cập nhật cấu hình C2 của nó một cách nhanh chóng bằng cách nhận phiên bản mới từ máy chủ C2 trong quá trình bỏ phiếu. Một số tính năng chính của backdoor cho phép nó đọc và ghi tệp từ và vào đĩa, khởi chạy tải trọng, thực thi các lệnh shell và thậm chí tự nâng cấp và gỡ cài đặt.
Phương pháp chính xác mà qua đó phần mềm độc hại được lan truyền hiện vẫn chưa được biết. Tuy nhiên, Microsoft lưu ý rằng trình nhỏ giọt được lấy từ các trang web bị xâm nhập bằng cách sử dụng tiện ích certutil, nhấn mạnh việc sử dụng nhị phân sống hợp pháp ngoài đất liền (LOLBin) để dàn dựng cuộc tấn công.
Các kết nối của Kapeka với Sandworm có tính khái niệm và cấu hình trùng lặp với các gia đình được tiết lộ trước đó như GreyEnergy, người kế nhiệm có khả năng cho bộ công cụ BlackEnergy và Prestige.
"Có khả năng Kapeka đã được sử dụng trong các vụ xâm nhập dẫn đến việc triển khai ransomware Prestige vào cuối năm 2022", WithSecure cho biết. "Có khả năng Kapeka là người kế nhiệm GreyEnergy, bản thân nó có khả năng là sự thay thế cho BlackEnergy trong kho vũ khí của Sandworm."