Een voorheen ongedocumenteerde “flexibele” achterdeur belde Kapeka is sinds ten minste medio 2022 “sporadisch” waargenomen bij cyberaanvallen gericht op Oost-Europa, inclusief Estland en Oekraïne.
De bevindingen zijn afkomstig van het Finse cyberbeveiligingsbedrijf WithSecure, dat de malware toeschreef aan de aan Rusland gekoppelde Advanced Persistent Threat (APT)-groep, gevolgd als Sandworm (ook bekend als APT44 of Seashell Blizzard). Microsoft volgt dezelfde malware onder de naam KnuckleTouch.
‘De malware […] is een flexibele achterdeur met alle noodzakelijke functionaliteiten om te dienen als een toolkit in een vroeg stadium voor de operators, en ook om op lange termijn toegang te bieden tot het slachtofferdomein”, aldus beveiligingsonderzoeker Mohammad Kazem Hassan Nejad.
Kapeka wordt geleverd met een druppelaar die is ontworpen om een achterdeurcomponent op de geïnfecteerde host te starten en uit te voeren, waarna deze zichzelf verwijdert. De dropper is ook verantwoordelijk voor het instellen van persistentie voor de achterdeur, hetzij als een geplande taak, hetzij als een autorun-register, afhankelijk van of het proces SYSTEEM-rechten heeft.
Microsoft beschreef Kapeka in zijn eigen advies uitgebracht in februari 2024 als betrokken bij meerdere campagnes waarbij ransomware wordt verspreid en dat het kan worden gebruikt om een verscheidenheid aan functies uit te voeren, zoals het stelen van inloggegevens en andere gegevens, het uitvoeren van destructieve aanvallen en het verlenen van toestemming aan bedreigingsactoren toegang op afstand tot het apparaat.
De achterdeur is een Windows DLL geschreven in C++ en beschikt over een ingebedde command-and-control (C2)-configuratie die wordt gebruikt om contact te maken met een door een actor bestuurde server en die informatie bevat over de frequentie waarmee de server moet worden ondervraagd om opdrachten ophalen.
De achterdeur-DLL doet zich niet alleen voor als een Microsoft Word-invoegtoepassing om deze echt te laten lijken, maar verzamelt ook informatie over de gecompromitteerde host en implementeert multi-threading om binnenkomende instructies op te halen, te verwerken en de resultaten van de uitvoering naar de C2-server te exfiltreren.
“De achterdeur gebruikt de WinHttp 5.1 COM-interface (winhttpcom.dll) om de netwerkcommunicatiecomponent te implementeren”, legt Nejad uit. “De achterdeur communiceert met zijn C2 om te peilen naar taken en om vingerafdrukinformatie en taakresultaten terug te sturen. De achterdeur gebruikt JSON om informatie van zijn C2 te verzenden en te ontvangen.”
Het implantaat kan ook de C2-configuratie on-the-fly bijwerken door tijdens het pollen een nieuwe versie van de C2-server te ontvangen. Enkele van de belangrijkste kenmerken van de achterdeur zorgen ervoor dat deze bestanden van en naar schijf kan lezen en schrijven, payloads kan starten, shell-opdrachten kan uitvoeren en zelfs zichzelf kan upgraden en verwijderen.
De exacte methode waarmee de malware wordt verspreid, is momenteel onbekend. Microsoft merkte echter op dat de dropper van gecompromitteerde websites wordt opgehaald met behulp van het hulpprogramma certutil, wat het gebruik van een legitiem living-off-the-land binary (LOLBin) onderstreept om de aanval te orkestreren.
Kapeka's connecties met Sandworm zijn conceptueel en de configuratie overlapt met eerder onthulde families zoals GreyEnergy, een waarschijnlijke opvolger van de BlackEnergy-toolkit, en Prestige.
“Het is waarschijnlijk dat Kapeka werd gebruikt bij inbraken die eind 2022 leidden tot de inzet van de Prestige-ransomware”, aldus WithSecure. “Het is waarschijnlijk dat Kapeka een opvolger is van GreyEnergy, dat zelf waarschijnlijk een vervanger was voor BlackEnergy in het arsenaal van Sandworm.”
“Het slachtofferschap van de achterdeur, de zeldzame waarnemingen en het niveau van stealth en verfijning duiden op activiteit op APT-niveau, hoogstwaarschijnlijk van Russische afkomst.”