KnuckleTouch olarak da bilinen Kapeka, siber güvenlik dünyasında ses getiren gelişmiş bir arka kapı kötü amaçlı yazılımıdır.
Başlangıçta 2022’nin ortalarında ortaya çıkan Kapeka, özellikle Doğu Avrupa’da sınırlı kapsamlı saldırılara karışması nedeniyle 2024 yılına kadar resmi olarak takip edilmedi.
Kum Fırtınası Bağlantısı Kapeka, yıkıcı siber faaliyetleriyle bilinen Rusya Askeri Birimi 74455 tarafından işletilen Sandstorm Group ile bağlantılıdır.
Kum Solucanı olarak da anılan bu grubun, jeopolitik gerilimlerin ortasında Ukrayna’nın kritik altyapısını hedef alma geçmişi var.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Kapeka, başlatma, komuta ve kontrol (C2) iletişimi, görev yürütme ve kalıcılık mekanizmaları dahil olmak üzere bir dizi gelişmiş işlevsellik sergiler.
Kapeka, bulaşma sürecini başlatmak için bir damlalık kötü amaçlı yazılım kullanıyor.
Bu damlalık, “.wll” dosyası kılığında gerçek arka kapı dosyasını (bir Windows DLL) dağıtır ve onu “ProgramData” veya “AppData” gibi sistem dizinlerine konumlandırır.
Sürekli çalışmayı sağlamak için Kapeka birden fazla kalıcılık mekanizması kullanır:
- Otomatik Çalıştırma Kaydı: Değişiklik, sistem başlatıldığında arka kapı dosyasını yürütmek için otomatik çalıştırma kayıt defteri anahtarını değiştirir.
- Zamanlanmış Görevler: Özellikle ayrıcalık sınırlamaları nedeniyle ilk yöntem başarısız olursa, kalıcılığı sağlamak için “schtasks.exe”yi kullanarak zamanlanmış bir görev oluşturur.
- Toplu Dosya Kaldırma: Başarılı arka kapı dağıtımının ardından orijinal damlalığı ortadan kaldırmak için bir toplu iş dosyası bırakılır.
C2 İletişim ve İşlevselliğin Öne Çıkan Noktaları
Kapeka, WinHttp API’sini kullanarak komuta ve kontrol (C2) sunucusuyla iletişim kurarak JSON formatında veri alışverişi yapar.
C2 yapılandırması, gelişmiş güvenlik için AES-256 ile şifrelenmiştir.
İşte Kapeka’nın temel işlevlerinin bir dökümü:
- Başlatma ve Parmak İzi Alma: Sistem çağrıları ve kayıt defteri aramaları yoluyla kurbanın sistemi hakkında bilgi (işletim sistemi ayrıntıları, kullanıcı adları, makine/etki alanı adları) toplar. Bu veriler daha sonra iletim için JSON’a dönüştürülür.
Görevin Yürütülmesi: Kapeka, C2 sunucu komutlarına dayanarak, ele geçirilen sistem üzerinde aşağıdakiler de dahil olmak üzere çeşitli eylemler gerçekleştirebilir:
- Kendi kendine kaldırma
- Dosyaları C2 sunucusundan indirme
- Dosyaları C2 sunucusuna yükleme
- Komutları yürütmek veya yeni süreçleri başlatmak
- Kendini daha yeni bir sürümle güncelleme
- Kabuk komutlarını çalıştırma
Bu özellikler, tespit konusunda önemli zorluklar yaratır ve arka kapının gelişmiş yeteneklerinin altını çizer.
Soruşturma Sonrası LOGPOINT, kuruluşların şüpheli etkinlikleri tespit etmek için SIEM (Güvenlik Bilgileri ve Olay Yönetimi) çözümleri gibi güvenlik araçlarından yararlanmasını önerir.
Aranacak bazı potansiyel uzlaşma göstergeleri (IOC’ler):
- Şüpheli dosya yolları içeren otomatik çalıştırma girişleriyle ilgili kayıt defteri anahtarı değişiklikleri (örn.,”AppData\Local\Microsoft\jagyg.wll”)
- Belirli komutlara gönderme yapan “Sens Api” gibi olağandışı adlara sahip zamanlanmış görevler.
- Standart olmayan dizinlerde bulunan “.wll” dosyalarını çalıştıran “rundll32.exe” ile ilişkili işlemler.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide