此前未知的Kapeka后门与俄罗斯Sandworm APT有关联

WithSecure研究人员发现了一种名为Kapeka的新后门，自2022年中至少被用于针对东欧受害者的攻击。这个后门非常复杂，既可以作为初始工具包，又可以作为长期访问被感染系统的后门。目标的性质、低检测率和复杂的恶意软件支持功能表明，可能是一个高级持续性威胁（APT）组织开发了它。

WithSecure注意到Kapeka与GreyEnergy以及被归因于俄罗斯相关的Sandworm APT组织的Prestige勒索软件攻击之间存在重叠。WithSecure认为Kapeka很可能是Sandworm的武器库的一部分。Sandworm组（又称BlackEnergy、UAC-0082、Iron Viking、Voodoo Bear和TeleBots）自2000年以来一直活跃，它在俄罗斯GRU主要特种技术中心（GTsST）74455部队的控制下运作。

该组织还是2017年6月全球数百家公司受到的NotPetya勒索软件的作者。2022年，俄罗斯APT在针对乌克兰的攻击中使用了多种数据清除工具，包括AwfulShred、CaddyWiper、HermeticWiper、Industroyer2、IsaacWiper、WhisperGate、Prestige、RansomBoggs和ZeroWipe。 "Kapeka包含一个投放器，它会在受害者的计算机上投放并启动一个后门，然后自行删除。后门将首先收集机器和用户的信息并对其进行指纹识别，然后将详细信息发送给威胁行为者。” 

WithSecure表示，“这样可以将任务传递回计算机，或者更新后门的配置。WithSecure不清楚Kapeka后门是如何由Sandworm传播的。” 

研究人员推测，Kapeka可能是GreyEnergy的继任者，而GreyEnergy本身很可能是Sandworm中BlackEnergy的替代品。

Kapeka包括一个投放器，作为感染主机上后门组件的启动器，之后会自行删除。投放器还通过计划任务（如果是管理员或SYSTEM）或自动运行注册表（如果不是）为后门设置了持久性。

Kapeka后门是一个Windows动态链接库（DLL），具有单个导出函数。恶意软件伪装成一个Microsoft Word附加组件（.wll）文件。它使用C++编写，并使用Visual Studio 2017（15.9）进行编译。执行时，它需要在初始运行中使用“-d”参数，但对于后续执行则不需要。该恶意软件采用了多线程实现，利用事件对象进行线程同步和信号传递。 后门使用WinHttp 5.1 COM接口（winhttpcom.dll）作为其网络通信模块。它与其C2服务器进行交互，以获取任务并传递指纹数据和任务结果。

恶意软件使用JSON进行C2通信。 两个不同的线程管理网络通信：一个用于发送指纹数据和获取任务，另一个用于将完成的任务结果传输到C2。这两个线程都使用相同的请求/响应机制。 后门可以通过在轮询过程中从C2服务器接收新的JSON配置（带有键“GafpPS”）来动态更新其C2配置。如果接收到的配置与当前配置不同，则后门会即时更新其配置，并将最新的C2配置存储在注册表值（“Seed”）中。后门还可以通过在轮询过程中从其C2服务器接收到的任务列表JSON响应（带有键“Td7opP”）来在受感染系统上执行各种任务。恶意代码会为执行每个任务生成一个单独的线程。 “后门的受害者学、不经常出现的情况以及隐秘性和复杂性水平表明是APT级别的活动，高度可能是俄罗斯的。然而，由于撰写时数据稀缺，无法确定感染向量、威胁行为者以及行动目标。尽管如此，我们检查了多个数据点，强烈暗示了Kapeka与Sandworm之间的联系。”

原文始发于微信公众号（黑猫安全）：此前未知的Kapeka后门与俄罗斯Sandworm APT有关联