Odborníci podrobně popsali fungování malwaru Kapeka, který přinejmenším od poloviny roku 2022 útočí na systémy ve střední a východní Evropě. Dle finské...
Odborníci podrobně popsali fungování malwaru Kapeka, který přinejmenším od poloviny roku 2022 útočí na systémy ve střední a východní Evropě. Dle finské firmy WithSecure je tento malware pravděpodobně spojen s hackerskou skupinou Sandworm, kterou řídí ruská vojenská zpravodajská služba GRU. Podrobnosti přidává The Hacker News.
Tento backdoor je primárně určen pro použití ve špionážních a sabotážních operacích. Jeho kód je vytvořen tak, aby hackerům umožnil přístup k síti pro nasazení dalších škodlivých aplikací. Experti také objevili podobnosti mezi malwarem Kapeka a dalšími škodlivými nástroji vytvořenými skupinou Sandworm.
Kapeka měla být například použita při průnicích, které na konci roku 2022 vedly k šíření ransomwaru Prestige. Tento ransomware byl použit v rozsáhlé sérii útoků zaměřených na dopravní a logistické odvětví na Ukrajině a v Polsku. Z dosavadních zjištění vyplývá, že Kapeka je možná nástupcem malwaru GreyEnergy.
Stopy Kapeky byly nalezeny také při analýze útoku na estonskou logistickou společnost, ke kterému došlo koncem roku 2022. V polovině roku 2022 a v polovině roku 2023 byly z Ukrajiny do služby VirusTotal odeslány další dva vzorky tohoto backdooru.
Počátkem letošního února objevil Microsoft backdoor s podobnými vlastnostmi jako Kapeka a pojmenoval jej KnuckleTouch. I tento malware byl používán přinejmenším od počátku až poloviny roku 2022 a maskuje se jako doplněk aplikace Microsoft Word. Odborníci ze společnosti WithSecure následně potvrdili, že KnuckleTouch a Kapeka jsou jeden a ten samý backdoor.
Dle Microsoftu byla Kapeka zapojena do několika kampaní šířících ransomware a může být použita k provádění různých akcí, jako je krádež přihlašovacích údajů a dalších dat, provádění destruktivních útoků a poskytování vzdáleného přístupu k zařízení.
Podle zprávy WithSecure může Kapeka sloužit nejen jako sada nástrojů v rané fázi útoku, ale také zajišťovat dlouhodobý přístup k cílovému systému. Po infiltraci shromažďuje informace o infikovaném počítači a jeho uživateli. Může také provádět řadu úkolů – například číst soubory z disků, které jsou menší než 50 MB, a odesílat tyto informace zpět hackerům.
Malware může také spouštět další škodlivé aplikace, vykonávat různé příkazy a vylepšovat své vlastní funkce. Útočníci ho mohou využívat tak, že nejprve infikují počítač touto škodlivou aplikací, a v případě, kdy je oběť považována za vhodný cíl, nainstalovat další malware.
Ze zprávy dále vyplývá, že vývoj a nasazení Kapeky pravděpodobně souvisí s probíhající válkou na Ukrajině. Backdoor byl pravděpodobně použit při destruktivních útocích, včetně ransomwarových útoků, proti firmám a společnostem ve střední a východní Evropě.
Přečtěte si také:
2024-04-23T15:49:39Z dg43tfdfdgfd