• April 24, 2024
• Written by: 管理者
• No Comments

東ヨーロッパ、特にエストニアとウクライナを標的としたサイバー攻撃で「断続的」に観察されている未文書化の「柔軟な」バックドア「Kapeka」が、少なくとも2022年半ば以来存在しています。

この発見は、フィンランドのサイバーセキュリティ会社WithSecureによって行われ、このマルウェアをサンドワーム（別名APT44またはSeashell Blizzard）として追跡しているロシアと関連する高度な持続的脅威（APT）グループに帰属しています。Microsoftは、このマルウェアをKnuckleTouchの名前で追跡しています。

「このマルウェアは、柔軟なバックドアであり、オペレーターのための初期段階のツールキットとして機能するために必要なすべての機能を持ち、被害者の不動産への長期アクセスを提供することもできます」とセキュリティ研究者のモハマド・カゼム・ハッサン・ネジャド氏は述べています。

Kapekaには、感染したホスト上でバックドアコンポーネントを起動し実行するよう設計されたドロッパーが装備されており、その後自身を削除します。ドロッパーはまた、プロセスがシステム権限を持っているかどうかに応じて、スケジュールされたタスクまたは自動実行レジストリとしてバックドアの持続性を設定する責任も持っています。

サイバーセキュリティ Microsoftは2024年2月に発表された自社のアドバイザリーで、Kapekaがランサムウェアを配布する複数のキャンペーンに関与しており、認証情報やその他のデータを盗む、破壊的な攻撃を実施する、デバイスへのリモートアクセスを許可するなど、さまざまな機能を実行するために使用できると説明しています。

バックドアはC++で書かれたWindows DLLで、アクター制御サーバーとの連絡を確立するために使用される埋め込まれたコマンドアンドコントロール（C2）設定を特徴としています。