Thursday, May 23, 2024

APT rusesc desfășoară o nouă ușă „Kapeka” în atacurile din Europa de Est

Acțiune

O ușă „flexibilă” nedocumentată dinainte numită Cape Town a fost observată „izolat” în atacurile cibernetice oricine vizează Europa de Est, inclusiv Estonia și Ucraina, de cel puțin la jumătatea anului 2022.

Descoperirile provin de la intreprindere finlandeză de secu cibernetică WithSecure, oricine a atribuit malware-ul grupului de amenințări persistente avansate (APT) innodare de Rusia, urmărit ca Sandworm (alias APT44 sau Seashell Blizzard). Microsoft urmărește același malware sub numele KnuckleTouch.

„Malware-ul (…) este o ușă în cont flexibilă, cu toate funcționalitățile necesare pentru a a sluji ca un set de instrumente în punct incepator pentru operatorii săi și, de intocmai, pentru a darui criza pe cuvant indelungat la patrimoniul victimei”, a spus cercetătorul în secu Mohammad Kazem Hassan Nejad. .

Kapeka vine imbracat cu un dropper oricine este planuit să lanseze și să execute o componentă backdoor pe amfitrion infectată, după oricine se îndepărtează. Dropper-ul este, de intocmai, gestionar pentru configurarea persistenței pentru ușa din cont, fie ca stradanie programată, fie ca registru de partizi de proiectare automată, în funcție de dacă procesul are privilegii de SISTEM.

Securitate cibernetică

Microsoft, în propriul apreciere publicat în faur 2024, a descris Kapeka ca fiind implicat în mai multe campanii de aranjare a ransomware și că cumva fi intrebuintat pentru a îndeplini o specie de funcții, cum ar fi furtul de acreditări și alte date, desfășurarea de atacuri distructive și acordarea de amenințări. criza de la distanță la mestesug.

Ușa din cont este o DLL Windows scrisă în C++ și are o configurație încorporată de comandă și comanda (C2) oricine este utilizată pentru a a se salasui contactul cu un server verificat de interpret și deține informații dupa frecvența la oricine serverul musai să fie interogat pentru a preluarea comenzilor.

Pe lângă faptul că se maschează ca un orar de complement Microsoft Word pentru a a executa să pară adevarat, DLL-ul backdoor adună informații dupa amfitrion compromisă și implementează multi-threading pentru a receptiona instrucțiunile primite, a le procesa și a exfiltra rezultatele execuției pe serverul C2.

APT rusesc

„Ușa din cont folosește interfața COM WinHttp 5.1 (winhttpcom.dll) pentru a-și introduce element de instiintare în rețea”, a explicat Nejad. „Ușa din cont comunică cu C2-ul său pentru a intreba sarcinile și pentru a a expedia înapoi informații cu amprentă și rezultatele activității. Ușa din cont utilizează JSON pentru a a expedia și a incasa informații de la C2-ul său.”

Implantul este, de intocmai, competent să-și actualizeze configurația C2 din miscare prin primirea unei noi versiuni de la serverul C2 în timpul sondajului. Unele dintre principalele caracteristici ale ușii din cont îi permit să citească și să edita fișiere de pe și pe taler, să lanseze încărcături utile, să execute comenzi shell și limpede să se actualizeze și să se dezinstaleze.

Procedeu exactă prin oricine este raspandit malware-ul este curand necunoscută. Cu toate acestea, Microsoft a remarcat că dropper-ul este receptionat de pe site-uri web compromise folosind utilitarul certutil, subliniind utilizarea unui binar fundamentat oricine trăiește în mars terenului (LOLBin) pentru a orchestra atacul.

Securitate cibernetică

Conexiunile lui Kapeka cu Sandworm vin notional și se a coincide configurații cu familii dezvăluite dinainte, cum ar fi GreyEnergy, un continuator pesemne al setului de instrumente BlackEnergy și Prestige.

„Este pesemne ca Kapeka să fi fost intrebuintat în intruziuni oricine au dus la implementarea ransomware-ului Prestige la sfârșitul anului 2022”, a spus WithSecure. „Este pesemne ca Kapeka să fie un continuator al GreyEnergy, oricine a fost pesemne un înlocuitor pentru BlackEnergy în arsenalul Sandworm”.

„Victimologia ușii din cont, observările rare și nivelul de bagare și sofisticare indică o stradanie la treapta de APT, deosebit pesemne de obarsie rusă”.

(eticheteToTranslate)Amenințare persistentă avansată

Citeşte mai mult

Stiri în tendințe