Last Updated on 2024-10-24 07:19 by admin
フィンランドのサイバーセキュリティ企業WithSecureは、2022年半ば以降、東ヨーロッパ、特にエストニアとウクライナを対象としたサイバー攻撃で「Kapeka」と呼ばれる新たなバックドアが「断続的に」観察されたと報告した。このマルウェアは、ロシアにリンクする高度な持続的脅威(APT)グループであるSandworm(別名APT44またはSeashell Blizzard)に帰属されている。マイクロソフトは、このマルウェアをKnuckleTouchとして追跡している。
Kapekaは、感染したホスト上でバックドアコンポーネントを起動し実行した後に自身を削除するドロッパーを備えている。このドロッパーは、プロセスがSYSTEM権限を持っているかどうかに応じて、スケジュールされたタスクまたはオートランレジストリとしてバックドアの永続性を設定する責任がある。マイクロソフトは2024年2月に発表したアドバイザリーで、Kapekaが複数のキャンペーンでランサムウェアを配布する際に関与し、資格情報やその他のデータを盗む、破壊的な攻撃を行う、脅威アクターにデバイスへのリモートアクセスを許可するなど、さまざまな機能を実行できると述べている。
バックドアはC++で書かれたWindows DLLであり、アクター制御サーバーとの連絡を確立し、サーバーをポーリングしてコマンドを取得する頻度に関する情報を保持する組み込みのコマンドアンドコントロール(C2)設定を特徴としている。また、マイクロソフトのWordアドインとして偽装し、侵害されたホストに関する情報を収集し、マルチスレッドを実装して受信指示を取得、処理し、実行結果をC2サーバーにエクスフィルトレーションする。バックドアはWinHttp 5.1 COMインターフェース(winhttpcom.dll)を使用してネットワーク通信コンポーネントを実装し、C2と通信してタスクをポーリングし、指紋情報とタスク結果を送信する。JSONを使用してC2から情報を送受信する。
このインプラントは、ポーリング中にC2サーバーから新しいバージョンを受信することにより、そのC2設定を随時更新する能力も持っている。バックドアの主な機能には、ディスクからのファイルの読み書き、ペイロードの起動、シェルコマンドの実行、さらには自身のアップグレードやアンインストールが含まれる。マルウェアがどのようにして拡散されるかは現在不明である。しかし、マイクロソフトは、ドロッパーがcompromised websitesからcertutilユーティリティを使用して取得されることを指摘し、攻撃を仕掛けるために正当なliving-off-the-landバイナリ(LOLBin)の使用を強調している。
KapekaがSandwormと関連していることは、以前に公開されたGreyEnergy(BlackEnergyツールキットの可能性のある後継者)やPrestigeとの概念的および設定の重複から来ている。「Kapekaは、2022年後半にPrestigeランサムウェアの展開につながった侵入で使用された可能性が高い」とWithSecureは述べている。「Kapekaは、Sandwormの武器庫でBlackEnergyに取って代わった可能性のあるGreyEnergyの後継者である可能性が高い」。バックドアの被害者、まれな目撃、およびステルスと洗練のレベルは、APTレベルの活動、おそらくロシア起源であることを示している。
【ニュース解説】
フィンランドのサイバーセキュリティ企業WithSecureによると、2022年半ば以降、東ヨーロッパ、特にエストニアとウクライナを対象としたサイバー攻撃で「Kapeka」と呼ばれる新たなバックドアが断続的に観察されました。このバックドアは、ロシアにリンクする高度な持続的脅威(APT)グループであるSandwormに帰属されています。マイクロソフトはこのマルウェアを「KnuckleTouch」として追跡しています。
Kapekaは、感染したホスト上でバックドアコンポーネントを起動し、その後自身を削除するドロッパーを備えています。このドロッパーは、バックドアの永続性を確保するために、スケジュールされたタスクまたはオートランレジストリを設定します。マイクロソフトによると、Kapekaは資格情報の盗難、破壊的な攻撃の実行、脅威アクターによるデバイスへのリモートアクセスの許可など、多様な機能を持っています。
バックドアはC++で書かれたWindows DLLであり、アクター制御サーバーとの連絡を確立するための組み込みのコマンドアンドコントロール(C2)設定を持っています。また、マイクロソフトのWordアドインとして偽装し、侵害されたホストに関する情報を収集します。このバックドアは、WinHttp 5.1 COMインターフェースを使用してネットワーク通信を実装し、C2との間で情報をJSON形式で送受信します。
Kapekaは、そのC2設定を随時更新する能力を持ち、ディスクからのファイルの読み書き、ペイロードの起動、シェルコマンドの実行、自身のアップグレードやアンインストールなどの機能を提供します。マルウェアの拡散方法は現在不明ですが、マイクロソフトはドロッパーが正当なバイナリを使用して攻撃を仕掛けることを指摘しています。
KapekaがSandwormと関連していることは、GreyEnergyやPrestigeとの概念的および設定の重複から明らかです。これらの情報から、KapekaがSandwormの武器庫でBlackEnergyに取って代わった可能性のあるGreyEnergyの後継者であることが示唆されています。
このニュースは、サイバーセキュリティの分野において、APTグループによる高度なマルウェアの開発と使用が続いていることを示しています。Kapekaのようなバックドアは、感染したホストに長期間アクセスを維持し、様々な攻撃活動を実行するためのツールとして使用されます。これは、国家レベルのサイバー攻撃やスパイ活動において重要な役割を果たす可能性があります。
一方で、このような高度なマルウェアの存在は、サイバーセキュリティ対策の重要性を再確認させます。特に、APTグループによる攻撃は、その標的となる組織や国にとって深刻な脅威をもたらすため、適切な防御策の構築と継続的な監視が不可欠です。また、サイバーセキュリティコミュニティ間での情報共有と協力も、このような脅威に効果的に対抗するために重要な要素となります。
from Russian APT Deploys New 'Kapeka' Backdoor in Eastern European Attacks.
