Una puerta trasera «flexible» previamente indocumentada llamada Ciudad del Cabo Se ha observado «esporádicamente» en ciberataques dirigidos a Europa del Este, incluidas Estonia y Ucrania, desde al menos mediados de 2022.
Los hallazgos provienen de la firma finlandesa de ciberseguridad WithSecure, que atribuyó el malware al grupo de amenazas persistentes avanzadas (APT) vinculado a Rusia, rastreado como gusano de arena (también conocido como APT44 o Seashell Blizzard). Microsoft está rastreando el mismo malware con el nombre de KnuckleTouch.
«El malware […] es una puerta trasera flexible con todas las funcionalidades necesarias para servir como conjunto de herramientas en las primeras etapas para sus operadores, y también para proporcionar acceso a largo plazo al patrimonio de la víctima», dijo el investigador de seguridad Mohammad Kazem Hassan Nejad. dicho.
Kapeka viene equipado con un gotero diseñado para iniciar y ejecutar un componente de puerta trasera en el host infectado, después de lo cual se elimina solo. El cuentagotas también es responsable de configurar la persistencia de la puerta trasera, ya sea como una tarea programada o como un registro de ejecución automática, dependiendo de si el proceso tiene privilegios de SISTEMA.
Microsoft, por su cuenta consultivo publicado en febrero de 2024, describió a Kapeka como involucrado en múltiples campañas de distribución de ransomware y que puede usarse para llevar a cabo una variedad de funciones, como robar credenciales y otros datos, realizar ataques destructivos y otorgar a los actores de amenazas acceso remoto al dispositivo.
La puerta trasera es una DLL de Windows escrita en C++ y presenta una configuración integrada de comando y control (C2) que se utiliza para establecer contacto con un servidor controlado por un actor y contiene información sobre la frecuencia con la que se debe sondear el servidor para poder recuperar comandos.
Además de hacerse pasar por un Complemento de Microsoft Word Para que parezca genuino, la DLL de puerta trasera recopila información sobre el host comprometido e implementa subprocesos múltiples para recuperar instrucciones entrantes, procesarlas y filtrar los resultados de la ejecución al servidor C2.
«La puerta trasera utiliza la interfaz COM WinHttp 5.1 (winhttpcom.dll) para implementar su componente de comunicación de red», explicó Nejad. «La puerta trasera se comunica con su C2 para sondear tareas y enviar información de huellas dactilares y resultados de tareas. La puerta trasera utiliza JSON para enviar y recibir información desde su C2».
El implante también es capaz de actualizar su configuración C2 sobre la marcha al recibir una nueva versión del servidor C2 durante el sondeo. Algunas de las características principales de la puerta trasera le permiten leer y escribir archivos desde y hacia el disco, iniciar cargas útiles, ejecutar comandos de shell e incluso actualizarse y desinstalarse.
Actualmente se desconoce el método exacto a través del cual se propaga el malware. Sin embargo, Microsoft anotado que el dropper se recupera de sitios web comprometidos utilizando el utilidad certutilsubrayando el uso de un binario legítimo que vive de la tierra (LOLBin) para orquestar el ataque.
Las conexiones de Kapeka con Sandworm son conceptuales y la configuración se superpone con familias previamente reveladas como GrisEnergíaun probable sucesor del conjunto de herramientas BlackEnergy, y Prestigio.
«Es probable que Kapeka se haya utilizado en intrusiones que llevaron al despliegue del ransomware Prestige a finales de 2022», dijo WithSecure. «Es probable que Kapeka sea el sucesor de GreyEnergy, que a su vez probablemente fue un reemplazo de BlackEnergy en el arsenal de Sandworm».
«La victimología de la puerta trasera, los avistamientos poco frecuentes y el nivel de sigilo y sofisticación indican actividad de nivel APT, muy probablemente de origen ruso».