芬兰安全研究人员详细介绍了鲜为人知的俄罗斯 Kapeka 后门恶意软件的新情况,该恶意软件至少自 2022 年中期以来一直用于攻击东欧目标。
据芬兰网络安全公司 WithSecure 称,这款名为 Kapeka 的恶意软件可能与俄罗斯军事情报部门 (GRU) 运营的黑客组织 Sandworm 有关。
该公司在与 Recorded Future News 分享的一份报告中表示,后门可能是 Sandworm 武器库的更新,用于间谍活动和破坏活动。像 Kapeka 这样的代码是为了让黑客能够访问网络来部署其他恶意软件。
研究人员还发现 Kapeka 和 Sandworm 的其他恶意工具之间存在重叠。
Kapeka 很可能被用于导致 2022 年底部署 Prestige 勒索软件的入侵。根据之前的报告,与 Sandworm 相关的黑客在针对乌克兰和波兰的运输和物流部门的一系列攻击中部署了 Prestige 勒索软件(详情)。
研究人员表示,Kapeka 有可能是 Sandworm 的 GreyEnergy 恶意软件的后继者,后者本身很可能是著名的 BlackEnergy 病毒的替代品,该病毒曾在 2015 年向乌克兰电网插入恶意代码。
WithSecure 表示,它在 2023 年年中在分析 2022 年底发生的针对爱沙尼亚物流公司的攻击时发现了 Kapeka 的踪迹。
另外两个后门样本分别于 2022 年中期和 2023 年中期从乌克兰提交给 VirusTotal 存储库。WithSecure 研究人员表示,他们“有一定的信心”认为提交者是恶意软件感染的受害者。
今年2月初,微软发现了一个与 Kapeka 特征相似的后门,并将其命名为KnuckleTouch。微软的报告认为,该恶意软件至少从 2022 年初到中期就已被 Sandworm 使用。WithSecure 向 Recorded Future News 证实 KnuckleTouch 和 Kapeka 是同一个后门。
Kapeka的能力
根据 WithSecure 的报告,Kapeka 可以作为早期工具包,并提供对目标系统的长期访问。
一旦部署,后门就会收集有关受感染计算机及其用户的信息。它还可以执行一系列任务,例如从磁盘读取小于 50 MB 的文件并将此信息发送回黑客。
研究人员表示,该恶意软件还可以启动有效负载、执行 shell 命令并升级其自身功能,从而可能使攻击者首先使用后门的框架版本感染受害者,并且只有在受害者被认为是合适的目标时才会释放更完整的版本。
报告称,Kapeka 的开发和部署可能是在俄乌战争爆发之后进行的。该后门可能被用于针对中欧和东欧的破坏性攻击,包括勒索软件活动。
研究人员表示,其他研究中很少提及 Kapeka,这表明该恶意软件至少自 2022 年中期以来就已被用于有限范围的攻击。
该组织可能对针对运输和物流公司特别感兴趣。WithSecure 最初在爱沙尼亚公司的网络中发现了后门,研究人员还将其与针对波兰和乌克兰物流行业的 Prestige 勒索软件式攻击联系起来。
研究人员表示:“由于在编写感染媒介时数据较少,暂无法确定攻击者的目标具体是什么。
“Kapeka 的开发者和运营商是否会随着该工具的新版本而发展,或者开发和使用与 Kapeka 相似的新工具包,就像 Kapeka 和 GreyEnergy 以及 GreyEnergy 和 BlackEnergy 之间发现的那样,还有待观察。”研究人员说。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/sNWWj9sGX_ap1LUrcvazRA
暂无评论内容