2022 ortalarından bu yana Doğu Avrupa’daki kurbanlara saldıran “Kapeka” adlı yeni bir arka kapının olduğu tespit edildi.
Kapeka, tehdit aktörleri için başlangıç aşaması araç seti görevi gören esnek bir arka kapıdır.
Ayrıca arka kapı, Sandworm adlı bir tehdit grubuyla bağlantılı GreyEnergy ve Prestige Ransomware saldırılarıyla da örtüşüyor.
Kum kurdu tehdit aktörleri, Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Ana Müdürlüğü (GRU) tarafından işletildiği tespit edilen, özellikle Ukrayna’ya saldırmayı amaçlayan tanınmış Rus ulus-devlet bilgisayar korsanlarıdır.
Free Webinar | Mastering WAAP/WAF ROI Analysis | Book Your Spot
Teknik Analiz
Cyber Security News ile paylaşılan raporlara göre bu arka kapı, ele geçirilen sistemlere bir arka kapı düşürüp başlatan ve kendini kaldıran bir damlalıktan oluşuyor.
Bırakılan arka kapı, bilgileri ve sistem bilgilerini çıkaracak ve bunlar daha sonra tehdit aktörlerine gönderilecek.
Ayrıca görevlerin ele geçirilen makineye geri aktarılmasına da olanak tanır. Ayrıca 2022’nin sonlarında Prestige Ransomware’in dağıtımı sırasında kullanıldığı da tahmin ediliyor.
Ayrıca bu arka kapı aynı zamanda GreyEnergy’nin devamı niteliğindedir.
Damlalık Analizi
Kapeka Dropper, kurbanın makinesindeki arka kapının kalıcılığını bırakan, çalıştıran ve ayarlayan 32 bitlik bir Windows Yürütülebilir dosyasıdır.
Yürütülen işlem ayrıcalığına bağlı olarak, arka kapı, “C:\ProgramData” veya “C:\Users\” yolundaki “Microsoft” adlı bir klasörün içine gizli bir dosya olarak bırakılır.
İşlem ayrıcalığı ayrıca, damlalığın kalıcılığı zamanlanmış bir görev olarak mı yoksa otomatik çalıştırma kaydı olarak mı ayarlayacağına da karar verir.
Zamanlanmış görev olması durumunda schtasks komutu ile “Sens API” adında bir görev oluşturularak sistem başlatılırken SYSTEM olarak çalışacak şekilde ayarlanır.
Otomatik çalıştırma kaydı durumunda, ‘reg add’ komutu aracılığıyla HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run altına “Sens Api” isimli bir otomatik çalıştırma girişi eklenir.
Arka Kapı Analizi
Kapeka Arka Kapısı, C++ ile yazılmış ve Visual Studio 2017 kullanılarak derlenen bir Windows DLL’sidir.
Arka kapı, .wll uzantısıyla bir Microsoft Word Eklentisi gibi görünüyor.
Diğer tüm arka kapılar gibi, bu uygulama da çok iş parçacıklıdır ve veri senkronizasyonu ve sinyalleme için olay nesnelerini kullanır.
Arka kapı lansmanı için aşağıdaki gibi dört ana konu vardı:
- İlk iş parçacığı, görevleri ve yapılandırmaları almak için C2 iletişiminin yanı sıra başlatma ve çıkış rutinini gerçekleştirir.
- İkinci iş parçacığı, Windows oturum kapatma olaylarını izler ve oturum kapatma sırasında arka kapının çıkış rutinini gerçekleştirmek için birincil iş parçacığına sinyal gönderir.
- Üçüncü iş parçacığı, işlenmesi gereken gelen görevleri izler ve ayrıca C2’den alınan her görevi yürütmek için sonraki iş parçacıklarını başlatır.
- Son iş parçacığı, görev tamamlamalarını izler ve işlenen görev sonuçlarını C2’ye geri gönderir.
Arka kapının en son sürümü, ikili dosyadaki hem GUID hem de sabit kodlanmış değerlere uygulanan CRC32 ve PRNG işlemlerini uygulayan özel bir algoritmadan oluşur.
Ancak arka kapının JSON formatında kodlanmış hem yerleşik hem de kalıcı yapılandırmaları vardır.
| JSON | Anahtar | Değer |
| GafpPS | Yuvalanmış nesne | C2 konfigürasyon bileşenlerini barındırır. |
| LsHsAO | Sıralamak | C2 Sunucusu URL’leri (gerekli). Bu, arka kapının gömülü yapılandırması için zorunlu olan tek alandır. |
| hM4cDc | Tamsayı | Maksimum canlı süre (gün) – Arka kapının, başlatılmasından veya kendisini kaldırmadan önce son başarılı C2 yoklamasından bu yana C2’ye bağlanmayı deneyeceği maksimum gün sayısı. Mevcut değilse, varsayılan tutar 3 gündür. |
| nLMNzt | Tamsayı | Maksimum hayatta kalma süresi (gün) – Arka kapının, başlatılmasından bu yana C2’ye bağlanmayı deneyeceği maksimum gün sayısı veya kendisini kaldırmadan önce son başarılı C2 yoklaması. Mevcut değilse, varsayılan tutar 3 gündür. |
| rggw8m | Yuvalanmış nesne | Aşağıda belirtilen sistem zamanı yapısı nesnelerini tutar. Değerler çalışma zamanında GetSystemTimeAsFileTime() kullanılarak arka kapı tarafından oluşturulur ve güncellenir. Bu aslında arka kapının canlı kalma süresini ve son başarılı C2 anketini takip eder. Bu, kayıt defterindeki kalıcı yapılandırmaya dahildir. |
| bhpaLg | Tamsayı | Sistem zamanı (Düşük dereceli kısım) |
| sEXtX’ler | Tamsayı | Sistem zamanı (Yüksek dereceli kısım) |
| Komut Kimliği | Emretmek | Gerekli parametreler |
| 0 | Uygulanmadı | – |
| 1 | Arka kapıyı kaldır | – |
| 2 | Diskteki dosyaları okuyun | XVXLNm – Okunacak dosya yolu |
| 3 | Diskteki dosyaya yaz | XVXLNm – Yazılacak dosya yoluINlB5x – Yazılacak dosya içeriği |
| 4 | İşlemi veya yükü başlatma | XVXLNm – İşleme ve başlatma için komut satırıINlB5x (isteğe bağlı) – Özel yük |
| 5 | Kabuk komutunu çalıştır | XVXLNm – Başlatma için kabuk komutu |
| 6 | Arka kapıyı yükselt | – |
| Diğer | “Bilinmiyor\n” değerini döndür | – |
Uzlaşma Göstergeleri
| Tip | Değer | Not | Görülen | Görüldü |
| Dosya adı | crdss.exe | Arka kapı damlalık dosyası adı | Ukrayna | Haziran 2022 |
| Dosya adı | %SYSTEM%\win32log.exe | Arka kapı damlalık dosyası adı | Estonya | Eylül 2022 |
| SHA1 | 80fb042b4a563efe058a71a647ea949148a56c7c | Arka kapı damlalık karması | Ukrayna | Haziran 2022 |
| SHA1 | 5d9c189160423b2e6a079bec8638b7e187aebd37 | Arka kapı damlalık karması | Estonya | Eylül 2022 |
| SHA1 | 6c3441b5a4d3d39e9695d176b0e83a2c55fe5b4e | Arka kapı karması | Estonya | Eylül 2022 |
| SHA1 | 97e0e161d673925e42cdf04763e7eaa53035338b | Arka kapı karması | Ukrayna | Mayıs 2023 |
| SHA1 | 9bbde40cab30916b42e59208fbcc09affef525c1 | Arka kapı karması | Ukrayna | Haziran 2022 |
| URL’si | https[:]//103[.]78[.]122[.]94/yardım/sağlık kontrolü | Arka kapı C2 adresi | – | – |
| URL’si | https[:]//88[.]80[.]148[.]65/haber/makale | Arka kapı C2 adresi | – | – |
| URL’si | https[:]//185[.]181[.]229[.]102/ana sayfa/bilgi | Arka kapı C2 adresi | – | – |
| URL’si | https[:]//185[.]38[.]150[.]8/yıldız/anahtar | Arka kapı C2 adresi | – | – |
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP