La società finlandese WithSecure ha scoperto la backdoor Kapeka, precedentemente non documentata, sfruttata per attacchi informatici su Windows. Definita KnuckleTouch da Microsoft, la backdoor “flessibile” è stata osservata sporadicamente negli attacchi informatici che hanno preso di mira l’Europa dell’Est, comprese Estonia e Ucraina, almeno dalla metà del 2022.
WithSecure ha attribuito il malware al gruppo di Advanced persistent threat (APT) legato alla Russia, identificato come Sandworm (alias APT44 o Seashell Blizzard).
“Il ritrovamento del malware Kapeka dimostra, qualora ve ne fosse bisogno”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “la crescente capacità di un attore nation-state come Sandworm. Il gruppo, assieme all’APT Gamaredon, è tra i più attivi sul fronte del conflitto con l’Ucraina e si distingue per attività di spionaggio e sabotaggio“.
“Per le organizzazioni”, aggiunge Carmen Palumbo, Country Sales Manager Italy di WithSecure, significa che “il conflitto tra Russia e Ucraina si estende oltre i confini dell’Ucraina. Le organizzazioni collegate o che collaborano con l’Ucraina potrebbero essere considerate obiettivi“.
Ecco come mitigare il rischio.
“Il malware […] è una backdoor flessibile con tutte le funzionalità necessarie per fungere da kit di strumenti per la fase iniziale per i suoi operatori, e anche per fornire accesso a lungo termine alla proprietà della vittima”, ha dichiarato il ricercatore di sicurezza Mohammad Kazem Hassan Nejad.
Kapeka è dotato di un dropper progettato per lanciare ed eseguire un componente backdoor sull’host infetto, dopodiché provvede alla propria rimozione da solo. Il dropper è anche responsabile dell’impostazione della persistenza della backdoor come attività pianificata o registro di avvio automatico. Ma ciò dipende se il processo ha o meno i privilegi di System.
Microsoft, nel proprio advisory rilasciato nel febbraio 2024, ha descritto Kapeka come coinvolto in più campagne di distribuzione di ransomware. Può servire per svolgere una serie di funzioni, come rubare credenziali e altri dati, sferrare attacchi distruttivi e concedere agli attori delle minacce l’accesso remoto al dispositivo.
La backdoor è una DLL di Windows scritta in C++ e presenta una configurazione di comando e controllo (C2) incorporata che viene utilizzata per stabilire un contatto con un server controllato dagli attori e contiene informazioni sulla frequenza con cui il server deve essere interrogato per recuperare i comandi.
Oltre a mascherarsi come un add-in di Microsoft Word per apparire autentica, la DLL backdoor raccoglie informazioni sull’host compromesso e implementa il multi-threading per recuperare le istruzioni in arrivo, elaborarle ed esfiltrare i risultati dell’esecuzione al server C2.
“La backdoor utilizza l’interfaccia WinHttp 5.1 COM (winhttpcom.dll) per implementare il suo componente di comunicazione di rete”, ha spiegato Nejad. “Essa comunica con il suo C2 per eseguire il polling per le attività e per inviare indietro le informazioni sulle impronte digitali e i risultati delle attività. La backdoor utilizza JSON per inviare e ricevere informazioni dal suo C2”.
L’impianto è anche in grado di aggiornare la sua configurazione C2 al volo, ricevendo una nuova versione dal server C2 durante il polling. Alcune delle caratteristiche principali della backdoor le permettono di leggere e scrivere file da e su disco, lanciare payload, eseguire comandi di shell e persino aggiornarsi e disinstallarsi.
“Vogliamo sottolineare che è improbabile che cessino le loro attività”, conclude Carmen Palumbo, “I rari avvistamenti di Kapeka possono quindi essere un’ulteriore indicazione di un attacco hacker guidato dallo stato (APT). Il nostro rapporto fornisce un’analisi tecnica approfondita della backdoor e delle sue capacità, nonché un’analisi della connessione tra Kapeka e il gruppo Sandworm”.
Le connessioni di Kapeka con Sandworm derivano da sovrapposizioni concettuali e di configurazione con famiglie già rivelate in precedenza come GreyEnergy, un probabile successore del toolkit BlackEnergy e Prestige.
“È probabile che gli aggressori abbiano utilizzato Kapeka nelle intrusioni che hanno condotto alla diffusione del ransomware Prestige alla fine del 2022”, ha dichiarato WithSecure. “È probabile che Kapeka sia un successore di GreyEnergy, che a sua volta era probabilmente un sostituto di BlackEnergy nell’arsenale di Sandworm”.
“La vittimologia della backdoor, gli avvistamenti poco frequenti e il livello di furtività e sofisticazione indicano un’attività di livello APT, molto probabilmente di origine russa”.
L’esatto metodo di propagazione del malware è attualmente sconosciuto. Tuttavia, Microsoft ha notato che il dropper viene recuperato da siti web compromessi utilizzando l’utility certutil, sottolineando l’uso di un binario legittimo “living-off-the-land” (LOLBin) per orchestrare l’attacco.
Il consiglio è di mantenere aggiornati sistemi operativi, software e applicazioni web. Inoltre bisogna assumere una postura di sicurezza che metta al centro la consapevolezza. Ma sarebbe anche opportuno effettuare verifiche approfondite su tutto il codice.
“Gli esperti di WithSecure ipotizzano infatti che esista una relazione diretta tra Kapeka, GreyEnergy, ed il più datato BlackEnergy utilizzato anche negli attacchi contro l’Ucraina del dicembre 2015″, conclude Paganini: “Se questa ipotesi dovesse essere confermata, l’analisi dei tre malware potrebbe fornire importanti informazioni circa l’evoluzione delle capacità di SandWorm, le tecniche di sviluppo del codice malevolo, eventuale riuso del codice, utilizzo di componenti di terze parti sviluppati da altri APT legati a Mosca, e l’utilizzo o sviluppo di zero-day exploit“.