Rosyjska grupa Sandworm używa nowego backdoora do atakowania Ukrainy i sojuszników
17.04.2024
W nawiązaniu do nowych informacji od Withsecure, Rosyjska grupa APT Sandworm używa podobno nowego backdoora, „Kapeka”, do atakowania organizacji na Ukrainie oraz w innych krajach Europy Wschodniej i Środkowej.
Uważa się, że Kapeka, wyrafinowane narzędzie, które zostało opracowane w odpowiedzi na trwający konflikt rosyjsko-ukraiński i prawdopodobnie było wykorzystywane w ukierunkowanych atakach od czasu nielegalnej inwazji Ukrainy w 2022 roku. Podejrzewa się, że odegrało ono rolę we wdrożeniu oprogramowania ransomware Prestige, które pod koniec 2022 r. atakowało branże transportu i logistyki na Ukrainie i w Polsce. Zachowaj czujność!
Obecnie nie ma prawie żadnej publicznej wiedzy na temat backdoora Kapeka poza krótkim opisem opublikowanym przez Microsoft 14 lutego 2024 r., dotyczącym odkrycia nowego backdoora, który nazywa KnuckleTouch. Microsoft przypisuje backdoora KnuckleTouch do grupy SeaShell Blizzard, znanej tez pod nazwą Sandworm. Nie ma analizy tego złośliwego oprogramowania przeprowadzonej przez Microsoft, ale WithSecure jest przekonany, że KnuckleTouch to Kapeka.
We własnej analizie firma WithSecure znalazła liczne zbieżności między Kapeka i GreyEnergy.
Istnieją dwa główne potencjalne zastosowania Kapeki. Po pierwsze, jeśli zostanie pomyślnie dostarczony, jego mechanizmy ukrycia i trwałości mogą prowadzić do długoterminowego cyberszpiegostwa.
Po drugie, Kapeka może być wykorzystywana do dostarczania złośliwego oprogramowania.
YARA Rules i IOC:
GitHub: https://github.com/WithSecureLabs/iocs/tree/master/Kapeka
| Filename | crldss.exe |
| Filename | %SYSTEM%\win32log.exe |
| SHA1 | 80fb01a2b4a53efc0a87fa74e9a4918a4a856c7c |
| SHA1 | 5d9c189104623b26e079bac838b71e7baed37 |
| SHA1 | bc3a41b54ad33d39e965d176b80c83a2c55fe4be |
| SHA1 | 97be0e161bc37925e42cd470763eaac5033553bb |
| URL | https://103.178.124.94/help/healthcheck |
| URL | https://88.180.148.165/news/article |
| URL | https://185.181.122.102/home/info |
| URL | https://185.38.150.182/star/key |
Daniel Wysocki
Daniel Wysocki to absolwent wydziału Inżynierii Mechanicznej i Robotyki na Akademii Górniczo-Hutniczej w Krakowie.
Jego kariera w branży IT trwa już dwie dekady, podczas których zdobył bogate doświadczenie i umiejętności.
Obecnie pełni funkcję Kierownika Działu Cyberbezpieczeństwa w firmie Advatech, lidera w dostarczaniu nowoczesnych rozwiązań technologicznych. Jako ekspert od cyberbezpieczeństwa, nieustannie poszukuje i wprowadza w życie najnowocześniejsze i najskuteczniejsze rozwiązania do ochrony danych i infrastruktury IT. Korzysta z innowacyjnych osiągnięć branży cyberbezpieczeństwa, aby zapewnić najwyższy poziom zabezpieczeń i odporności na ataki.
