Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Kapeka, Rus GRU Hacking Group’un GreyEnergy Kötü Amaçlı Yazılımıyla Benzerlik Gösteriyor
Sayın Mihir (MihirBagwe) •
17 Nisan 2024
Güvenlik araştırmacıları, muhtemelen en azından 2022’nin ortasından bu yana Sandworm olarak bilinen Rus askeri istihbarat korsanlarının Doğu Avrupa hedeflerine karşı yeni ve son derece esnek bir arka kapı açtığı konusunda uyarıyor.
Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?
Güvenlik firması WithSecure, “Kapeka” olarak adlandırdığı arka kapının, bilinen Sandworm kötü amaçlı yazılımı GreyEnergy ile örtüşmeler gösterdiğini ve grubun 2022’de kendisini “Prestige” olarak tanıtan bir fidye yazılımı çeşidiyle yaptığı kötü amaçlı şifreleme saldırılarını gösterdiğini söylüyor.
Araştırmacılar, Rusça’da “küçük leylek” anlamına gelen Kapeka’yı 2023 yılının ortalarında Estonyalı bir lojistik şirketinde tespit edilen bilinmeyen arka kapıyı araştırırken keşfettiler. Şirket, bilgisayar korsanlarının arka kapıyı 2022 yılında kurduğunu değerlendiriyor.
WithSecure, “Arka kapının mağduriyeti, nadir görülen görüşler ve gizlilik ve karmaşıklık düzeyi, büyük olasılıkla Rus kökenli olan APT düzeyindeki faaliyete işaret ediyor” dedi. Microsoft ayrıca kötü amaçlı yazılımı tespit etti, onu KnuckleTouch1 olarak izledi ve Şubat ayındaki bir blog gönderisinde Redmond’un Seashell Blizzard olarak takip ettiği Sandworm’a atfetti.
İstihbarat teşkilatlarının bilgisayar korsanlığı ekiplerinin küresel çaptaki ağır sikletleri arasında yer almasına rağmen Sandworm, pahalı özel kodlu uygulamaları tespit ve karşı önlemlere aşırı maruz bırakmak amacıyla özel kötü amaçlı yazılımları dağıtma konusundaki dikkatliliğiyle biliniyor. WithSecure raporunda, “Kapeka’nın nadiren görülmesi, Rusya-Ukrayna çatışması gibi yıllar süren operasyonlarda gelişmiş kalıcı bir aktör (APT) tarafından titizlikle kullanıldığının bir kanıtı olabilir” deniyor.
Kapeka arka kapısı, 32 bit ve 64 bit Windows yürütülebilir dosyası olarak çalışır ve kalıcılığın düşürülmesinden, yürütülmesinden ve oluşturulmasından sorumludur. GreyEnergy gibi Kapeka da ana arka kapının içine gömülü olduğu bir damlalık bileşeninden oluşur. Her iki uygulama da, kurbanın yönetici ayrıcalıklarına sahip olması durumunda tüm kullanıcılar için uygulama verilerini içeren dosya sistemi dizininde veya yerel uygulamalar için dosya sistemi dizininde “Microsoft” adlı bir klasör oluşturur. “Her iki arka kapı DLL’si de rundll32 aracılığıyla ilk sıra numarası (#1) tarafından dışa aktarılır ve çağrılır. Bu, DLL’leri dışa aktarmanın alışılmadık ama benzersiz olmayan bir yöntemidir.” Her ikisi de uzunluk olarak benzer olan benzer bir şifreleme anahtarı oluşturur.
WithSecure, “Kapeka’nın, Sandworm’un cephaneliğindeki BlackEnergy’nin yerini alması muhtemel olan GreyEnergy’nin halefi olması muhtemeldir” dedi.
Kapeka’nın dağıtımı, Microsoft’un Sandworm’a atfettiği, 2022 sonbaharında Polonya ve Ukrayna’da rapor edilen Prestige fidye yazılımı saldırılarıyla aynı zamana denk geldi (bkz.: Microsoft, Rusya’nın Avrupa’ya Yönelik Artan Dijital Tehditleri Konusunda Uyardı).
WithSecure, Kapeka’nın “muhtemelen 2022 sonlarında Prestige fidye yazılımının yayılmasına yol açan izinsiz girişlerde kullanıldığını” söyledi.