Una puerta trasera “flexible” previamente indocumentada llamada Kapeka se ha observado “esporádicamente” en ciberataques dirigidos a Europa del Este, incluidas Estonia y Ucrania, desde al menos mediados de 2022.
Los hallazgos provienen de la firma finlandesa de ciberseguridad WithSecure, que atribuyó el malware al grupo de amenazas persistentes avanzadas (APT) vinculado a Rusia, rastreado como Sandworm (también conocido como APT44 o Seashell Blizzard). Microsoft está rastreando el mismo malware con el nombre de KnuckleTouch.
“El malware […] es una puerta trasera flexible con todas las funcionalidades necesarias para servir como un conjunto de herramientas en las primeras etapas para sus operadores y también para proporcionar acceso a largo plazo al patrimonio de la víctima”, dijo el investigador de seguridad Mohammad Kazem Hassan Nejad. .
Kapeka viene equipado con un gotero diseñado para iniciar y ejecutar un componente de puerta trasera en el host infectado, después de lo cual se elimina solo. El cuentagotas también es responsable de configurar la persistencia de la puerta trasera, ya sea como una tarea programada o como un registro de ejecución automática, dependiendo de si el proceso tiene privilegios de SISTEMA.
Microsoft, en su propio aviso publicado en febrero de 2024, describió a Kapeka como involucrado en múltiples campañas de distribución de ransomware y que puede usarse para llevar a cabo una variedad de funciones, como robar credenciales y otros datos, realizar ataques destructivos y otorgar amenazas a los actores. acceso remoto al dispositivo.
La puerta trasera es una DLL de Windows escrita en C++ y presenta una configuración integrada de comando y control (C2) que se utiliza para establecer contacto con un servidor controlado por un actor y contiene información sobre la frecuencia con la que se debe sondear el servidor para poder recuperar comandos.
Además de hacerse pasar por un complemento de Microsoft Word para que parezca genuino, la DLL de puerta trasera recopila información sobre el host comprometido e implementa subprocesos múltiples para recuperar instrucciones entrantes, procesarlas y filtrar los resultados de la ejecución al servidor C2.
El implante también es capaz de actualizar su configuración C2 sobre la marcha al recibir una nueva versión del servidor C2 durante el sondeo. Algunas de las características principales de la puerta trasera le permiten leer y escribir archivos desde y hacia el disco, iniciar cargas útiles, ejecutar comandos de shell e incluso actualizarse y desinstalarse.
Actualmente se desconoce el método exacto a través del cual se propaga el malware. Sin embargo, Microsoft señaló que el dropper se recupera de sitios web comprometidos utilizando la utilidad certutil, lo que subraya el uso de un binario legítimo que vive de la tierra (LOLBin) para orquestar el ataque.