后门 Kapeka 攻击中欧和东欧的计算机。 显然，俄罗斯是幕后黑手 – Živě.cz

专家详细介绍了功能 Kapeka 恶意软件至少自 2022 年中期以来，该组织一直在攻击中欧和东欧的系统。 根据 芬兰公司WithSecure 据信该恶意软件与 Sandworm 黑客组织有关，该组织由俄罗斯 GRU 军事情报部门运营。 已添加详细信息 黑客新闻。

该后门主要用于间谍和破坏活动。 其代码旨在允许黑客访问网络以部署其他恶意应用程序。 专家还发现 Kapeka 恶意软件与 Sandworm 组织创建的其他恶意工具之间存在相似之处。

例如，Capeka 原本应该用于 2022 年底实现的突破 Prestige 勒索软件传播。 该勒索软件被用于针对乌克兰和波兰运输和物流行业的一系列大规模攻击。 从目前的调查结果来看，Kapeka 似乎是 GreyEnergy 恶意软件的可能继任者。

作为 MS Word 附加组件的后门

在对 2022 年底发生的针对爱沙尼亚物流公司的攻击的分析中也发现了 Kapeka 的痕迹。该后门的另外两个样本分别于 2022 年中期和 2023 年中期从乌克兰发送到 VirusTotal。

今年2月初，微软发现了一个与Kapeka特征相似的后门，并将其命名为KnuckleTouch。 该恶意软件至少从 2022 年初到中期就已经开始使用，并且 它伪装成 Microsoft Word 加载项。 WithSecure的专家随后证实KnuckleTouch和Kapeka是同一个后门。

据微软称，Kapeka 参与了多项勒索软件活动，可用于执行各种操作，例如窃取凭据和其他数据、执行破坏性攻击以及提供对设备的远程访问。

狡猾的俄罗斯恶意软件

根据WithSecure的报告，Kapeka不仅可以作为攻击早期的工具包，还可以提供对目标系统的长期访问。 渗透后 收集有关受感染计算机及其用户的信息。 它还可以执行许多任务，例如从小于 50MB 的驱动器中读取文件并将该信息发送回黑客。

恶意软件还可以启动其他恶意应用程序、执行各种命令并增强其自身功能。 攻击者可以通过首先使用此恶意应用程序感染计算机，然后在受害者被认为是合适的目标时安装其他恶意软件来利用它。

报告进一步指出 卡佩卡的研制和部署很可能与乌克兰正在进行的战争有关。 该后门可能被用于针对中欧和东欧企业和公司的破坏性攻击，包括勒索软件攻击。