El panorama de la ciberseguridad sigue evolucionando, y ahora hay una nueva amenaza a la que debemos prestar atención. Se trata del backdoor “Kapeka”, un malware altamente flexible y con capacidades de ataque destructivo que ha estado atacando a víctimas en Europa del Este desde mediados de 2022. En este artículo, exploraremos los detalles de este backdoor, sus métodos de ataque y la conexión con el infame grupo de amenazas Sandworm.
¿Qué es el Backdoor Kapeka?
Kapeka es un backdoor que actúa como una herramienta inicial para que los actores maliciosos tomen control de sistemas comprometidos. Una de sus características más alarmantes es su flexibilidad, permitiendo a los atacantes realizar diversas tareas, desde la extracción de información hasta la ejecución de comandos arbitrarios. Además, este backdoor comparte similitudes con GreyEnergy y el ransomware Prestige, ambos vinculados con el grupo de amenazas Sandworm.
¿Quién es Sandworm?
Sandworm es un grupo de hackers respaldado por el Estado ruso, conocido por sus ataques dirigidos a Ucrania y otros países. Está operado por la Dirección General del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU). Los ataques de Sandworm son altamente sofisticados y han causado estragos significativos en infraestructuras críticas y sistemas gubernamentales.
Análisis Técnico de Kapeka
Kapeka consiste en un dropper que instala y lanza el backdoor en sistemas comprometidos. Este dropper se elimina a sí mismo después de completar su tarea, haciendo que sea más difícil de detectar para las soluciones de seguridad. Una vez instalado, el backdoor puede extraer información del sistema y enviarla a los actores de amenazas.
El backdoor también permite que se pasen tareas al sistema comprometido, lo que le da a los atacantes un control casi total. Se sospecha que este backdoor fue utilizado durante el despliegue del ransomware Prestige a fines de 2022. Kapeka es un sucesor de GreyEnergy, un backdoor que ha estado relacionado con ataques destructivos en el pasado.
Kapeka Backdoor: Una Amenaza Destructiva para Europa del Este
El dropper de Kapeka es un archivo ejecutable de 32 bits que deja, ejecuta y configura la persistencia del backdoor en la máquina víctima. Dependiendo del privilegio del proceso ejecutado, el backdoor se guarda como un archivo oculto en una carpeta llamada “Microsoft” dentro de la ruta “C:\ProgramData” o “C:\Users\<username>\AppData\Local”.
Para asegurar la persistencia, el dropper puede crear una tarea programada o una entrada de autorun en el registro de Windows. En el caso de la tarea programada, se crea una tarea llamada “Sens API” que se ejecuta al inicio del sistema como SYSTEM. En el caso de la entrada de autorun, se agrega una entrada llamada “Sens Api” en el registro de Windows para ejecutar el backdoor al inicio de la sesión.
Análisis del Backdoor
El backdoor Kapeka es una DLL de Windows escrita en C++ y compilada con Visual Studio 2017. Se hace pasar por un complemento de Microsoft Word con la extensión .wll. El backdoor es multi-threaded y utiliza objetos de evento para sincronización de datos y señalización.
El backdoor tiene cuatro hilos principales: uno para la inicialización y comunicación con el C2, otro para monitorear eventos de cierre de sesión, un tercero para procesar tareas entrantes y lanzar nuevos hilos, y un cuarto para monitorear la finalización de tareas y enviar resultados al C2.
La última versión del backdoor incluye un algoritmo personalizado que implementa CRC32 y operaciones PRNG. Además, tiene configuraciones persistentes y embebidas codificadas en formato JSON.
Conclusión
El backdoor Kapeka es una amenaza seria que debe ser monitoreada de cerca por las empresas y profesionales de ciberseguridad. Con su flexibilidad y capacidades destructivas, representa un riesgo significativo para la infraestructura crítica y otras organizaciones. Se recomienda estar al tanto de las últimas noticias de ciberseguridad y aplicar las mejores prácticas de seguridad para protegerse de esta amenaza emergente.