Kapeka: la nuova minaccia cyber proveniente dalla Russia

Recentemente scoperta dalla compagnia finlandese WithSecure, la backdoor Kapeka, noto anche come KnuckleTouch da Microsoft, ha impatto rilevante sui sistemi operativi Windows. Questa minaccia cibernetica, legata al gruppo APT Sandworm affiliato alla Russia, opera principalmente nell'Europa orientale, con attacchi registrati in Estonia e Ucraina dalla metà del 2022. Kapeka si caratterizza per la sua versatilità, essendo capace di fungere sia da strumento iniziale per i cyber-attacchi sia come accesso remoto persistente agli asset delle vittime.

Dettagli tecnici e impiego di Kapeka in attacchi informatici

La backdoor Kapeka è implementata come una DLL di Windows scritta in C++, dotata di funzionalità avanzate di comando e controllo (C2). Questo modulo malevolo si traveste da add-in per Microsoft Word per evitare rilevamenti, eseguendo operazioni in multi-thread per gestire efficacemente i comandi ricevuti dal server C2. Le sue capacità includono la lettura e scrittura di file, l'esecuzione di comandi shell, e l'autogestione attraverso aggiornamenti o disinstallazione autonoma, aumentando così la sua furtività e efficienza negli attacchi di cyber spionaggio o distribuzione di ransomware.

Relazioni tra Kapeka e altre famiglie di malware

WithSecure ha evidenziato collegamenti tra Kapeka e altre note famiglie di malware come GreyEnergy e BlackEnergy, indicando una possibile evoluzione all'interno della strategia di Sandworm. Inoltre, è stata osservata una similarità nelle tecniche di attacco che collega Kapeka a recenti campagne ransomware, come quella del Prestige. Queste associazioni suggeriscono che l'arsenale di Sandworm sia in continua evoluzione, raffinando gli strumenti esistenti o sviluppandone di nuovi per aumentare l'efficacia degli attacchi.

Consigli per la protezione contro la minaccia Kapeka

Microsoft ha rilevato l'uso di tecniche "living-off-the-land", come l'utilizzo dell'utility certutil per recuperare il dropper da siti web compromessi, enfatizzando l'importanza di una strategia proattiva nella sicurezza informatica. È essenziale mantenere i sistemi aggiornati e conduct verifiche regolari su codici e configurazioni. Promuovere la consapevolezza della sicurezza all'interno delle organizzazioni risulta cruciale per mitigare il rischio di infezione da malware come Kapeka e proteggere i dati sensibili e le infrastrutture critiche.