Angriff aus Russland: Windows-Malware platziert Backdoor und verwischt Spuren
Die Kapeka genannte Schadsoftware wird mit der russischen Hackergruppe Sandworm in Verbindung gebracht. Sie ist als Erweiterung für Microsoft Word getarnt.
Sicherheitsforscher von Withsecure haben eine neuartige Malware namens Kapeka entdeckt, die als Erweiterung für Microsoft Word getarnt ist und mit einer Hackergruppe namens Sandworm in Verbindung gebracht wird. Letztere gehört nach Angaben der Forscher zum russischen Militärnachrichtendienst GRU und ist vor allem für ihre zerstörerischen Angriffe gegen die Ukraine bekannt.
Kapeka ist laut Withsecure in C++ geschrieben und enthält einen Dropper, der eine Backdoor in Form einer DLL-Datei nachlädt. Die Schadsoftware zielt auf Windows-Systeme ab und kommt mindestens seit Mitte 2022 bei Angriffen auf Ziele in Mittel- und Osteuropa zum Einsatz. "Sie dient Hackern nicht nur als Toolkit für die Anfangsphase des Angriffs, sondern gewährt auch langfristigen Zugriff auf die Daten des Opfers", heißt es in einer Pressemitteilung der Cybersicherheitsexperten.
Vor allem das seltene Auftauchen und der Grad an Tarnung und Raffinesse dieser Malware deuteten darauf hin, dass sie bei staatlich gesteuerten Hackerangriffen verwendet werde. Die Forscher sehen hier insbesondere enge Verbindungen zum aktuellen Russland-Ukraine-Konflikt. Wie genau Kapeka verbreitet werde, sei aber noch unklar. Ursache dafür dürfte der Umstand sein, dass sich die Schadsoftware nach erfolgreicher Infiltration eines Systems teilweise selbst wieder löscht und so ihre Spuren verwischt.
Cyberangriffe von Sandworm
Sandworm wurde bereits für mehrere Cyberangriffe auf Ziele in der Ukraine verantwortlich gemacht, darunter ein Ende 2023 erfolgter prominenter Angriff auf den Telekommunikationsdienstleister Kyivstar. Rund 24 Millionen Kunden des Unternehmens waren daraufhin für mehrere Tage vom Internet getrennt. Später stellte sich heraus, dass die Hacker im Vorfeld mehrere Monate lang Zugriff auf das Kyivstar-Netz hatten.
Die Withsecure-Forscher halten es für wahrscheinlich, dass Kapeka Ende 2022 bei Angriffen mit der Prestige-Ransomware zum Einsatz kam. Vor Letzterer hatte im Oktober 2022 auch das Sicherheitsteam von Microsoft gewarnt. Angriffsziel waren damals der Logistik- und Transportsektor in der Ukraine und Polen.
Darüber hinaus halten die Forscher Kapeka für einen Nachfolger von Greyenergy und Blackenergy – zwei Malware-Familien, die Sandworm schon früher bei Cyberangriffen einsetzte.
Pieter Arntz, Malware-Analyst von Malwarebytes, warnt hinsichtlich der Entdeckung von Kapeka vor der Quasi-Monopolstellung, die Microsoft insbesondere im Bereich Betriebssysteme und Office-Anwendungen wie Word bei Regierungen und Behörden innehat. "Die Tatsache, dass Microsoft bei einigen Technologien so gut wie keine Konkurrenz hat, macht eine Hintertür in einer dieser Anwendungen sehr wertvoll, und es wäre nicht verwunderlich, wenn zukünftig noch mehr entdeckt würden", so Arntz.
Dann setze ein Beispiel und mach es besser! Meckern kann jeder, aber besser machen? Das...
Ich kann deren Namensänderung immer noch nicht verdauen. Brauch wohl noch ein Jahr mehr.
Kommentieren