Une porte dérobée « flexible » jusqu’alors non documentée appelée Kapéka a été observé « sporadiquement » dans des cyberattaques visant l’Europe de l’Est, notamment l’Estonie et l’Ukraine, depuis au moins mi-2022.
Les conclusions proviennent de la société finlandaise de cybersécurité WithSecure, qui a attribué le malware au groupe de menaces persistantes avancées (APT) lié à la Russie et suivi sous le nom de Sandworm (alias APT44 ou Seashell Blizzard). Microsoft traque le même malware sous le nom de KnuckleTouch.
“Le logiciel malveillant […] est une porte dérobée flexible dotée de toutes les fonctionnalités nécessaires pour servir de boîte à outils précoce à ses opérateurs, et également pour fournir un accès à long terme au patrimoine des victimes”, a déclaré le chercheur en sécurité Mohammad Kazem Hassan Nejad.
Kapeka est équipé d’un compte-gouttes conçu pour lancer et exécuter un composant de porte dérobée sur l’hôte infecté, après quoi il se supprime. Le compte-gouttes est également responsable de la configuration de la persistance de la porte dérobée, soit en tant que tâche planifiée, soit en tant que registre à exécution automatique, selon que le processus dispose ou non des privilèges SYSTÈME.
Microsoft, dans son propre avis publié en février 2024, a décrit Kapeka comme étant impliqué dans plusieurs campagnes de distribution de ransomware et qu’il peut être utilisé pour exécuter diverses fonctions, telles que le vol d’informations d’identification et d’autres données, la conduite d’attaques destructrices et l’octroi de droits d’accès aux acteurs malveillants. accès à distance à l’appareil.
La porte dérobée est une DLL Windows écrite en C++ et comporte une configuration de commande et de contrôle (C2) intégrée qui est utilisée pour établir le contact avec un serveur contrôlé par un acteur et contient des informations sur la fréquence à laquelle le serveur doit être interrogé afin de récupérer les commandes.
En plus de se faire passer pour un complément Microsoft Word pour le faire paraître authentique, la DLL de porte dérobée rassemble des informations sur l’hôte compromis et implémente le multithreading pour récupérer les instructions entrantes, les traiter et exfiltrer les résultats de l’exécution vers le serveur C2.
“La porte dérobée utilise l’interface COM WinHttp 5.1 (winhttpcom.dll) pour implémenter son composant de communication réseau”, a expliqué Nejad. “La porte dérobée communique avec son C2 pour interroger les tâches et renvoyer les informations d’empreintes digitales et les résultats des tâches. La porte dérobée utilise JSON pour envoyer et recevoir des informations de son C2.”
L’implant est également capable de mettre à jour sa configuration C2 à la volée en recevant une nouvelle version du serveur C2 lors du polling. Certaines des principales fonctionnalités de la porte dérobée lui permettent de lire et d’écrire des fichiers depuis et vers le disque, de lancer des charges utiles, d’exécuter des commandes shell et même de se mettre à niveau et de se désinstaller.
La méthode exacte par laquelle le malware se propage est actuellement inconnue. Cependant, Microsoft a noté que le compte-gouttes est récupéré à partir de sites Web compromis à l’aide de l’utilitaire certutil, soulignant l’utilisation d’un binaire légitime vivant de l’extérieur du pays (LOLBin) pour orchestrer l’attaque.
Les connexions de Kapeka à Sandworm sont conceptuelles et la configuration chevauche des familles précédemment divulguées comme GreyEnergy, un successeur probable de la boîte à outils BlackEnergy, et Prestige.
“Il est probable que Kapeka ait été utilisé dans des intrusions qui ont conduit au déploiement du ransomware Prestige fin 2022”, a déclaré WithSecure. “Il est probable que Kapeka soit le successeur de GreyEnergy, qui lui-même remplaçait probablement BlackEnergy dans l’arsenal de Sandworm.”
“La victimologie de la porte dérobée, ses observations peu fréquentes, ainsi que son niveau de furtivité et de sophistication indiquent une activité de niveau APT, très probablement d’origine russe.”