WithSecure enttarnt russische Malware – WithSecure uncovers Russian malware

Sandworm ist eine russische Hacker-Gruppe, die von der Hauptverwaltung des Generalstabs der Streitkräfte der Russischen Föderation (GRU) betrieben wird. Die Aufgabe der GRU ist die nachrichtendienstliche Beschaffung aller militärisch relevanten Informationen. Die Sandworm Gruppe ist vor allem für ihre zerstörerischen Angriffe gegen die Ukraine bekannt, mit denen sie russische Interessen in der Region verfolgt.

Kapeka ist eine flexible Backdoor mit mehreren Funktionen. Sie dient Hackern nicht nur als Toolkit für die Anfangsphase des Angriffs, sondern gewährt auch langfristigen Zugriff auf die Daten des Opfers. Die Analyse der Malware, ihr seltenes Auftauchen sowie ihr Grad an Tarnung und Raffinesse deuten auf Aktivitäten auf Advanced Persistent Threat (APT)-Ebene hin, also auf typischerweise staatlich gesteuerte Hackerangriffe.

Entwicklung und Einsatz von Kapeka sind eng mit dem aktuellen Russland-Ukraine-Krieg verbunden. Die Backdoor wird seit dem illegalen Einmarsch wahrscheinlich bei gezielten Angriffen auf Unternehmen in Mittel- und Osteuropa eingesetzt.

Eines der von Withsecure entdeckten Artefakte war ein unbekannter Backdoor-Dropper, der Ende 2022 bei einem estnischen Logistikunternehmen entdeckt wurde. Bei der Analyse wurden zwei weitere Versionen der Backdoor gefunden, die VirusTotal Mitte 2022 und Mitte 2023 aus der Ukraine zugespielt wurden, eine davon mit einer geplanten Task-Datei von einem infizierten Computer, die die Backdoor startete.

Auf der Grundlage dieser wenigen Datenpunkte wurden mehrere vorläufige Bewertungen vorgenommen:

– Es wurden keine früheren Varianten der Backdoor beobachtet oder öffentlich gemeldet.

– Die Backdoor wurde nur selten gesichtet, was darauf hindeutet, dass sie seit mindestens Mitte 2022 in begrenztem Umfang für Angriffe verwendet wurde.

– Ausgehend von der Viktimologie wurde die Backdoor wahrscheinlich in Kampagnen eingesetzt, die speziell auf Opfer in Osteuropa abzielten.

Dies wurde später von Microsoft bestätigt, das die Malware als KnuckleTouch entdeckte und sie Seashell Blizzard (besser bekannt als Sandworm) zuordnete. Dies passt zu den historischen und aktuellen Aktivitäten (einschließlich der russischen Invasion in der Ukraine nach 2022) der Sandworm-Gruppe, von der bekannt ist, dass sie die umfassenderen strategischen Ziele und sich wandelnden nachrichtendienstlichen Anforderungen des russischen Staates unterstützt.

Der Ressourcenteil des Droppers enthält sowohl die 32-Bit- als auch die 64-Bit-Version der Hintertür und wählt je nach Prozessor des Opferrechners die passende Version aus.

Der Dropper verwendet einen eingebetteten Schlüssel zum Entschlüsseln der Binärdatei. Wenn der eingebettete Schlüssel jedoch nicht festgelegt ist, wird standardmäßig die Befehlszeilenzeichenfolge als Schlüssel für die Entschlüsselung verwendet.

Abhängig von den Prozessrechten wird die entschlüsselte Backdoor-Binärdatei als versteckte Datei unter einem Ordner namens Microsoft entweder in CSIDL_COMMON_APPDATA (wenn admin oder SYSTEM) oder CSIDL_LOCAL_APPDATA (wenn nicht) abgelegt. Hinweis: CSIDL_COMMON_APPDATA ist normalerweise „C:\ProgramData“ und CSIDL_LOCAL_APPDATA ist normalerweise „C:\Users\<Benutzername>\AppData\Local“.

Der Dateiname ist 5-6 Zeichen lang und wird nach dem Zufallsprinzip aus Konsonanten und Vokalen generiert (damit er wie ein echtes Wort aussieht), gefolgt von einer „.wll“-Erweiterung. Es ist erwähnenswert, dass der Dropper nach

SensApi.dll (eine legitime Windows-DLL) im Systemverzeichnis sucht und die Dateizeitattribute der abgelegten Backdoor-Binärdatei mithilfe von SetFileTime() so ändert, dass sie mit der legitimen DLL übereinstimmt.

Die Kapeka-Backdoor ist eine Windows-DLL, die eine Funktion enthält, die nach der Ordnungszahl (und nicht nach dem Namen) exportiert wurde. Die Hintertür ist in C++ geschrieben und mit Visual Studio 2017 (15.9) kompiliert (Linker 14.16). Die Backdoor-Datei tarnt sich mit ihrer Erweiterung (.wll) als Microsoft Word Add-In, ist aber in Wirklichkeit eine DLL-Datei.

Die Backdoor muss beim ersten Durchlauf mit dem Argument „-d“ ausgeführt werden, bei späteren Durchläufen jedoch ohne dieses Argument. Wie viele andere Backdoors ist die Backdoor-Implementierung multithreaded und verwendet Event-Objekte für die Datensynchronisation und Signalisierung zwischen den Threads.

„Kapeka macht uns aufgrund der Verbindungen zu russischen APT-Kampagnen – und dabei vor allem zur Sandworm-Gruppe – große Sorgen“, sagt Mohammad Kazem Hassan Nejad, Researcher bei WithSecure Intelligence. „Die seltenen, zielgerichteten Angriffe, die vor allem in Osteuropa beobachtet wurden, deuten auf ein maßgeschneidertes Tool für Angriffe mit begrenztem Umfang hin. Außerdem haben weitere Analysen Ähnlichkeiten mit GreyEnergy zum Vorschein gebracht – einem weiteren Toolkit, das wohl zu Sandworm gehört. Dies unterstreicht die Verbindungen zur Gruppe und weist auf eine erhöhte Bedrohungslage für mögliche Angriffsziele in Osteuropa hin.“

WithSecure hat zuletzt im Mai 2023 Aktivitäten von Kapeka beobachtet. Gerade bei staatlichen Bedrohungsakteuren ist nicht davon auszugehen, dass sie ihre Tätigkeit einstellen oder funktionierende Tools ausmustern. Die seltenen Sichtungen von Kapeka können daher ein zusätzlicher Hinweis auf einen staatlichen geführten, avancierten Hackerangriff (APT) sein. Diese Angriffe können sich über Jahre erstrecken – etwa im Krieg zwischen Russland und der Ukraine.

Sandworm is a Russian hacking group operated by the Main Directorate of the General Staff of the Armed Forces of the Russian Federation (GRU). The GRU’s mission is to collect all military-related information. The Sandworm Group is best known for its destructive attacks against Ukraine in pursuit of Russian interests in the region.

Kapeka is a flexible backdoor with multiple functions. It not only serves as a toolkit for hackers in the initial stages of an attack, but also provides long-term access to the victim’s data. Analysis of the malware, its infrequent appearance, and its level of stealth and sophistication point to Advanced Persistent Threat (APT) level activity, typically state-sponsored hacking.

The development and deployment of Kapeka is closely linked to the current Russia-Ukraine war.

One of the artifacts uncovered by WithSecure was an unknown backdoor/dropper detected in an Estonian logistics company in late 2022. Upon analysis found two additional versions of the dropped backdoor submitted to VirusTotal from Ukraine in mid-2022 and mid-2023, one of which was packaged with a scheduled task file from an infected machine that launched the backdoor.

Based on these sparse data points, several preliminary assessments were made:

• No previous variants of the backdoor have been observed or publicly reported.
• The backdoor was rarely sighted, hence indicating that it has been used in limited scope attacks since at least mid-2022.
• Based upon victimology, the backdoor was likely used in campaigns specifically targeting victims in Eastern Europe.

This was later corroborated by Microsoft, who detect this malware as KnuckleTouch , and attribute it to Seashell Blizzard (better known as Sandworm). This is in-line with historical and current (including post 2022 Russian invasion of Ukraine) targeting and activities linked to Sandworm group, who are known to support the wider strategic objectives and changing intelligence requirements of the Russian state.

The Kapeka dropper is a 32-bit Windows executable responsible for dropping, executing, and setting up persistence for the backdoor on a victim’s machine as well as removing itself from disk. The backdoor binary, which is embedded within its resource section, is encrypted via AES-256.

The dropper’s resource section contains both 32-bit and 64-bit version of the backdoor and chooses the appropriate version depending on the victim machine’s processor.

The dropper utilizes an embedded key to decrypt the binary. However, if the embedded key is not set, then it defaults to using the command line string as the key for decryption.

Depending on the process privileges, the decrypted backdoor binary is dropped as a hidden file under a folder called Microsoft in either CSIDL_COMMON_APPDATA (if admin or SYSTEM) or CSIDL_LOCAL_APPDATA (if not). Note: CSIDL_COMMON_APPDATA is typically “C:\ProgramData” and CSIDL_LOCAL_APPDATA is typically “C:\Users\<username>\AppData\Local”.

The file name is 5-6 characters long and is randomly generated from consonants and vowels (to make it appear like a legitimate word) followed by a “.wll” extension. It is worth noting that the dropper looks

for SensApi.dll (a legitimate Windows DLL) under system directory and modifies the file time attributes of the dropped backdoor binary to match the legitimate DLL by using SetFileTime().

The Kapeka backdoor is a Windows DLL containing one function which has been exported by ordinal (rather than by name). The backdoor is written in C++ and compiled (linker 14.16) using Visual Studio 2017 (15.9). The backdoor file masquerades as a Microsoft Word Add-In with its extension (.wll), but in reality it is a DLL file.

The backdoor is meant to be executed with “-d” argument for its initial run, but without it for subsequent runs (which is achieved via the persistence method mentioned in earlier section “Dropper analysis”). Like many other backdoors, the backdoor implementation is multi-threaded, utilizing event objects for data synchronization and signaling across threads.

„We are very concerned about Kapeka because of its links to Russian APT campaigns, particularly the Sandworm group,“ said Mohammad Kazem Hassan Nejad, researcher at WithSecure Intelligence. „The infrequent, targeted attacks observed, particularly in Eastern Europe, indicate a custom tool for limited scope attacks. In addition, further analysis has revealed similarities to GreyEnergy – another toolkit that appears to belong to Sandworm. This reinforces the links to the group and indicates an increased threat level for potential targets in Eastern Europe.”

WithSecure last observed Kapeka activity in May 2023. State-sponsored threat actors are unlikely to cease operations or retire functional tools. The rare sightings of Kapeka may therefore be an additional indication of a state-sponsored advanced persistent threat (APT) attack. These attacks can last for years, as in the case of the war between Russia and Ukraine.