Threat-Intelligence-Forschende melden, eine neuartige Malware entdeckt zu haben. Sie werde sei Mitte 2022 bei Angriffen auf Ziele in Mittel- und Osteuropa eingesetzt. Die Analyse der Malware, ihr seltenes Auftauchen sowie ihr Grad an Tarnung und Raffinesse würden auf Aktivitäten auf APT-Ebene (Advanced Persistent Threat) hindeuten.
Man könne die Malware mit dem Namen Kapeka mit der Hackergruppe Sandworm in Verbindung bringen, schreiben die Forscher von Whitsecure. Bei Sandworm handelt es sich um die Cybereinheit des russischen Militärgeheimdienstes GRU. Die APT-Gruppe ist auch als Voodoo Bear oder Seashell Blizzard bekannt.
Man kenne die Gruppe Sandworm wegen ihrer zerstörerischen Angriffe gegen die Ukraine, schreibt Withsecure. Den Forschern zufolge ist es möglich, dass Kapeka ein Nachfolger der Greyenergy-Malware von Sandworm ist, die ihrerseits wahrscheinlich ein Ersatz für die
berühmte Blackenergy-Malware war, mit der 2015 bösartiger Code in das ukrainische Stromnetz eingeschleust wurde.
Microsoft bestätigt
Die Security-Forscher führen aus, dass Kapeka eine flexible Backdoor sei, die einerseits als Toolkit für die Anfangsphase eines Angriffs diene. Andererseits gewähre Kapeka aber auch langfristigen Zugriff auf die Daten des Opfers.
Microsoft bestätigt den Befund von Kapeka. Die Redmonder haben der Malware den Namen "Knuckletouch" gegeben.
Angebliches Office-Add-in
Microsoft schreibt in einem Blogbeitrag vom 14. Februar 2024, dass Microsoft Defender Antivirus Knuckletouch erkenne und automatisch entferne. Infektionen könnten jedoch Reste von Dateien und Systemänderungen hinterlassen. Geräte, die mit diesem Trojaner infiziert sind, seien möglicherweise stark beeinträchtigt und müssten vollständig wiederhergestellt werden, so Microsoft.
Die Malware könne mehrere Befehle für die Befehls- und Kontrollfunktion (C2) verwenden und kommuniziere mit einer speziellen, von Bedrohungsakteuren kontrollierten Infrastruktur. Knuckletouch-Dateien würden in der Regel als Office-Add-ins mit den Dateierweiterungen .WLL oder .XLL dargestellt.