Doğu Avrupa’yı Hedef Alan Yeni Bir Rus APT Backdoor: Kapeka

Finlandiyalı siber güvenlik firması WithSecure, daha önce belgelenmemiş “esnek” bir backdoor olan Kapeka’yı keşfetti. Bu zararlı yazılım, en azından 2022 ortasından bu yana Estonya ve Ukrayna dahil olmak üzere Doğu Avrupa’yı hedef alan siber saldırılarda “aralıklı olarak” tespit edildi. 

Araştırmacılar, Kapeka’yı Rusya bağlantılı Sandworm (APT29 veya Seashell Blizzard olarak da bilinir) adlı gelişmiş kalıcı tehdit (APT) grubu ile ilişkilendirdi. Microsoft ise aynı zararlı yazılımı KnuckleTouch adıyla takip ediyor. 

Güvenlik araştırmacısı Mohammad Kazem Hassan Nejad, “Kapeka, saldırganlar için erken aşamada bir araç seti olarak hizmet vermek ve aynı zamanda mağdurun sistemine uzun vadeli erişim sağlamak için gerekli tüm işlevlere sahip esnek bir arka kapıdır.” dedi. 

Kapeka, bulaşan sisteme bir arka kapı yerleştiren ve çalıştıran bir damlatıcı ile birlikte gelir. Damlatıcı daha sonra kendini siler. Aynı zamanda sistem yetkilerine sahip olup olmadığına bağlı olarak arka kapı için zamanlanmış bir görev veya otomatik çalıştırma kayıt defteri girdisi oluşturarak kalıcılık sağlar. 

 

Kapeka’nın Yetenekleri 

Microsoft, Şubat 2024’te yayınladığı danışma yazısında, Kapeka’nın fidye yazılımı dağıtan birden fazla kampanyaya karıştığını ve kimlik bilgileri ve diğer verileri çalmak, yıkıcı saldırılar düzenlemek ve tehdit aktörlerine cihaza uzaktan erişim izni vermek gibi çeşitli işlevler için kullanılabileceğini belirtti. 

Kapeka, C++ ile yazılmış bir Windows DLL’sidir. Bu zararlı yazılım, saldırganın kontrolündeki bir sunucuyla iletişim kurmak için kullanılan ve sunucudan ne sıklıkta komut alacağı bilgilerini içeren gömülü bir komuta ve kontrol (C2) yapılandırmasına sahiptir. 

Backdoor DLL, gerçek bir Microsoft Word eklentisi gibi görünmek için kendini gizlerken, tehlikeye atılmış bilgisayar hakkında bilgi toplar ve gelen komutları almak, işlemek ve yürütme sonuçlarını C2 sunucusuna göndermek için çoklu iş parçacığı kullanır. 

 

 

Nejad, “Backdoor, ağ iletişimini sağlamak için WinHttp 5.1 COM arayüzünü (winhttpcom.dll) kullanıyor.” diye ekliyor. “Backdoor, görevleri almak ve parmak izi bilgilerini ve görev sonuçlarını geri göndermek için C2 sunucusu ile iletişim kurar. Bilgi alışverişinde JSON formatını kullanır.” 

Kapeka, sorgulama sırasında C2 sunucusundan yeni bir sürüm alarak C2 konfigürasyonunu güncelleme yeteneğine sahiptir. Zararlı yazılımın tam olarak nasıl yayıldığı bilinmemekle birlikte, Microsoft, damlatıcının certutil yardımcı programı kullanılarak saldırı için kullanılan meşru bir aracı (LOLBin) vurgulamaktadır. 

About The Author

Reply