Kapeka, una minaccia informatica emergente sta colpendo l’Europa orientale. Un malware backdoor, noto come Kapeka, è stato recentemente identificato e sembra essere opera del gruppo APT russo denominato Sandworm. Le prime osservazioni di questo attacco risalgono alla metà del 2022 e hanno interessato nazioni come Estonia e Ucraina.
Contenuto
Caratteristiche di Kapeka
Secondo la società di sicurezza finlandese WithSecure, il backdoor Kapeka si presenta come uno strumento estremamente flessibile, pensato per fornire agli operatori un accesso duraturo e controllato alle reti vittime. Questo software dannoso include una componente dropper che, una volta eseguita, lancia il backdoor sul dispositivo infetto e poi si autoelimina per nascondere le tracce.
Il backdoor Kapeka si distingue per una serie di caratteristiche tecniche che lo rendono un efficace strumento di cyber spionaggio e intrusione. Ecco un approfondimento sulle sue principali funzionalità e su come queste possono essere sfruttate dagli attaccanti:
Flessibilità e Polivalenza
Kapeka è progettato per essere un backdoor “flessibile”, il che significa che può essere adattato per svolgere diverse funzioni a seconda delle necessità degli attaccanti. Questa flessibilità lo rende particolarmente pericoloso, in quanto può essere configurato per eseguire una vasta gamma di attività malevole, dal furto di informazioni sensibili fino al controllo completo del sistema infetto.
LEGGI ANCHE: A cosa serve il malware e perché dovresti preoccupartene?
Componente Dropper
Una caratteristica chiave di Kapeka è la sua componente dropper. Questo modulo ha il compito di installare il backdoor sul dispositivo target, eseguirlo e poi eliminare sé stesso per minimizzare le tracce dell’infezione. Questo processo aiuta a mascherare la presenza del malware, rendendo più difficile per gli analisti di sicurezza rilevare e analizzare la minaccia.
Persistenza
Per assicurarsi che il backdoor mantenga l’accesso al dispositivo anche dopo riavvii o interruzioni, Kapeka include meccanismi di persistenza. Questi possono includere la creazione di compiti pianificati o l’aggiunta di chiavi di registro per l’avvio automatico, a seconda dei privilegi di sistema che il malware è in grado di acquisire.
Comunicazione con il Server C2
Kapeka utilizza una configurazione command-and-control (C2) incorporata, che gli permette di stabilire una comunicazione costante con un server controllato dagli attaccanti. Questa comunicazione è essenziale per ricevere nuovi comandi, inviare dati rubati e ricevere aggiornamenti del malware. Il backdoor utilizza l’interfaccia COM di WinHttp 5.1 per gestire questa comunicazione, e i dati sono scambiati in formato JSON per facilitare la trasmissione e l’elaborazione delle informazioni.
Mascheramento e Evasione
Per evitare di essere rilevato, Kapeka può mascherarsi come un componente aggiuntivo di Microsoft Word, apparendo così come un software legittimo agli occhi degli utenti e degli strumenti di sicurezza. Inoltre, implementa il multithreading per gestire efficacemente l’esecuzione di istruzioni in arrivo e l’esfiltrazione dei dati, riducendo così le probabilità di rilevamento da parte di soluzioni antivirus tradizionali.
Funzionalità Avanzate
Il backdoor è in grado di leggere e scrivere file, lanciare payload, eseguire comandi shell e persino aggiornarsi o disinstallarsi autonomamente. Queste funzionalità offrono agli attaccanti un controllo quasi totale sull’ambiente infetto, permettendo una vasta gamma di attività dannose.
In sintesi, la complessità e la versatilità di Kapeka lo rendono un strumento temibile nelle mani di attori minacciosi, capace di compromettere gravemente la sicurezza dei sistemi infetti.
Funzionalità e Metodi di Attacco
Microsoft ha rilasciato un avviso descrivendo Kapeka come parte di campagne multiple che distribuiscono ransomware, oltre a poter eseguire una varietà di funzioni come il furto di credenziali e attacchi distruttivi. Il backdoor, una DLL di Windows scritta in C++, utilizza una configurazione C2 (command-and-control) incorporata per stabilire la comunicazione con un server controllato dagli attaccanti, ricevendo comandi e inviando dati.
Funzionalità Chiave di Kapeka
Il backdoor Kapeka, scritto in C++ come una Dynamic Link Library (DLL) per Windows, possiede una serie di funzionalità avanzate che lo rendono uno strumento potente e versatile per i cybercriminali:
- Comunicazione di Rete: Utilizza l’interfaccia COM di WinHttp 5.1 (winhttpcom.dll) per gestire la comunicazione di rete. Questo gli permette di comunicare con il suo server C2 per ricevere task e inviare indietro informazioni raccolte e risultati delle attività eseguite.
- Gestione dei Comandi: Il malware è progettato per eseguire una varietà di comandi da remoto, che includono leggere e scrivere file su disco, lanciare payload, eseguire comandi della shell, e persino aggiornarsi o disinstallarsi autonomamente.
- Raccolta di Dati: Raccoglie dati sulla macchina compromessa, sfruttando tecniche di multi-threading per gestire le istruzioni in arrivo, elaborarle e esfiltrare i risultati al server C2. Questa capacità lo rende particolarmente pericoloso in quanto può sottrarre una vasta gamma di informazioni sensibili senza rilevamento immediato.
- Mascheramento: Si maschera come un add-in di Microsoft Word per apparire legittimo agli occhi delle vittime e degli strumenti di sicurezza, aumentando così le sue possibilità di evitare la rilevazione.
- Aggiornamenti Configurativi Dinamici: È capace di aggiornare la sua configurazione C2 “on-the-fly” ricevendo una nuova versione dal server C2 durante le sessioni di polling, permettendo agli attaccanti di modificare la strategia di attacco o evadere le difese in tempo reale.
Metodi di Attacco Utilizzati
L’esatto meccanismo di propagazione del Kapeka rimane non completamente chiarito, ma alcuni dettagli sono emersi:
- Compromissione di Siti Web: Il dropper di Kapeka è spesso recuperato da siti web compromessi utilizzando l’utilità certutil, una pratica conosciuta come “living off the land” che sfrutta strumenti legittimi presenti nel sistema per eseguire attività maligne, rendendo più difficile la rilevazione da parte di soluzioni di sicurezza.
- Persistenza: Una volta eseguito, Kapeka imposta la propria persistenza sul dispositivo infetto attraverso compiti pianificati o modifiche al registro di sistema, a seconda che il processo abbia privilegi di sistema, garantendo così la sua permanenza attraverso riavvii e aggiornamenti del sistema operativo.
Queste funzionalità e metodi mostrano come Kapeka sia stato progettato per essere un backdoor estremamente efficace e stealth, in grado di condurre una vasta gamma di attività dannose e mantenere una presenza a lungo termine sui dispositivi infetti. La sua sofisticazione sottolinea l’importanza di robuste misure di sicurezza e di una costante vigilanza contro tali minacce avanzate.
Backdoor Kapeka ed il Legame con Sandworm
Kapeka mostra sovrapposizioni concettuali e di configurazione con altre famiglie di malware come GreyEnergy, ritenuto il successore del toolkit BlackEnergy, e Prestige. Con questo contesto, sembra probabile che Kapeka sia stato utilizzato in intrusioni che hanno portato al rilascio del ransomware Prestige alla fine del 2022.
Il legame tra il backdoor Kapeka e il gruppo APT russo noto come Sandworm è significativo, riflettendo una continua evoluzione nel panorama delle minacce informatiche gestite da attori statali o sponsorizzati da stati. Sandworm, conosciuto anche come APT28 o Fancy Bear, è stato associato a numerose campagne di cyber-attacco mirate che hanno avuto un impatto globale, dimostrando capacità avanzate e intenti spesso distruttivi.
Evoluzione e Successione di Malware
Kapeka è considerato un potenziale successore del noto malware GreyEnergy, che a sua volta è stato visto come il sostituto del famigerato BlackEnergy. Quest’ultimo è stato ampiamente utilizzato in attacchi contro infrastrutture critiche, inclusi quelli noti per aver causato interruzioni significative dell’energia elettrica in Ucraina nel 2015. La transizione a GreyEnergy ha visto una sofisticazione maggiore, con funzionalità avanzate che miravano a operazioni di ricognizione e sabotaggio su larga scala.
Caratteristiche Tecniche e Configurazioni
Il backdoor Kapeka si distingue per la sua capacità di mascherarsi come un componente aggiuntivo di Microsoft Word, il che gli consente di apparire legittimo agli occhi delle vittime e dei sistemi di sicurezza. Utilizza un’interfaccia COM di WinHttp per implementare una componente di comunicazione di rete, che gli permette di restare in contatto con il server C2 (command-and-control), ricevendo compiti e inviando informazioni raccolte dalla rete infetta.
Sovrapposizioni Concettuali
Le sovrapposizioni tra Kapeka e i precedenti strumenti come GreyEnergy e BlackEnergy non si limitano alle tecniche operative, ma si estendono anche alle configurazioni utilizzate per la gestione dei comandi e il controllo. Questo suggerisce non solo una continuità nelle operazioni del gruppo Sandworm ma anche un’intenzionale evoluzione delle capacità di attacco per rimanere efficaci contro misure di sicurezza sempre più robuste.
Implicazioni Geopolitiche
Il coinvolgimento di Sandworm in attacchi che utilizzano Kapeka evidenzia ulteriormente le implicazioni geopolitiche di tali campagne di cyber-attacco. È probabile che tali attività siano state volte a ottenere vantaggi strategici o a esercitare pressioni politiche, come dimostrato dagli obiettivi frequentemente scelti in Europa orientale, una regione di significativo interesse geopolitico per la Russia.
Il legame di Kapeka con Sandworm non è solo una testimonianza della sofisticazione tecnica del gruppo ma anche un campanello d’allarme sulla necessità di una vigilanza continua e di una cooperazione internazionale nel campo della cybersecurity. La comprensione delle catene di attacco e la loro evoluzione è fondamentale per sviluppare strategie di difesa efficaci contro gli attori statali e quelli sponsorizzati da stati che continuano a rappresentare una minaccia significativa per la sicurezza globale.
Conclusioni sul Backdoor Kapeka
La complessità, la furtività e la sofisticatezza di Kapeka indicano chiaramente un’attività di livello APT, con origini molto probabilmente russe. L’efficacia e l’evoluzione di tali strumenti di cyber attacco richiedono una vigilanza costante e risposte coordinate per proteggere le infrastrutture critiche e le reti aziendali.
