Neue russische Malware Kapeka entdeckt

B2B Cyber Security ShortNews

Beitrag teilen

Die Security-Experten von WithSecure haben Kapeka enttarnt. Die neue Malware scheint Verbindungen zur russischen Hacker-Gruppe Sandworm zu haben. Mehrere Faktoren deuten klar darauf hin, dass die Entwicklung und der Einsatz der Malware mit dem Russland-Ukraine-Krieg zusammenhängen: Die Zeitpunkte, die Orte, sowie die wahrscheinliche Verbindung zur russischen Sandworm-Gruppe.

Threat-Intelligence-Forscher von WithSecure™ (ehemals F-Secure Business) haben eine neuartige Malware entdeckt, die mindestens seit Mitte 2022 bei Angriffen auf Ziele in Mittel- und Osteuropa eingesetzt wird. Die Malware mit dem Namen Kapeka kann mit einer Gruppe namens Sandworm in Verbindung gebracht werden. Sandworm ist eine russische Hacker-Gruppe, die von der Hauptverwaltung des Generalstabs der Streitkräfte der Russischen Föderation (GRU) betrieben wird. Die Gruppe ist vor allem für ihre zerstörerischen Angriffe gegen die Ukraine bekannt, mit denen sie russische Interessen in der Region verfolgt.

Anzeige

Backdoor-Malware mit Tarnfunktion

Kapeka ist eine flexible Backdoor mit mehreren Funktionen. Sie dient Hackern nicht nur als Toolkit für die Anfangsphase des Angriffs, sondern gewährt auch langfristigen Zugriff auf die Daten des Opfers. Die Analyse der Malware, ihr seltenes Auftauchen sowie ihr Grad an Tarnung und Raffinesse deuten auf Aktivitäten auf APT-Ebene hin, also auf typischerweise staatlich gesteuerte Hackerangriffe.

Entwicklung und Einsatz von Kapeka sind eng mit dem aktuellen Russland-Ukraine-Krieg verbunden. Die Backdoor wird seit dem illegalen Einmarsch wahrscheinlich bei gezielten Angriffen auf Unternehmen in Mittel- und Osteuropa eingesetzt.

Verbindung zu russischer Sandworm-Gruppe

„Kapeka macht uns aufgrund der Verbindungen zu russischen APT-Kampagnen – und dabei vor allem zur Sandworm-Gruppe – große Sorgen“, sagt Mohammad Kazem Hassan Nejad, Researcher bei WithSecure Intelligence. „Die seltenen, zielgerichteten Angriffe, die vor allem in Osteuropa beobachtet wurden, deuten auf ein maßgeschneidertes Tool für Angriffe mit begrenztem Umfang hin. Außerdem haben weitere Analysen Ähnlichkeiten mit GreyEnergy zum Vorschein gebracht – einem weiteren Toolkit, das wohl zu Sandworm gehört. Dies unterstreicht die Verbindungen zur Gruppe und weist auf eine erhöhte Bedrohungslage für mögliche Angriffsziele in Osteuropa hin.“

WithSecure hat zuletzt im Mai 2023 Aktivitäten von Kapeka beobachtet. Gerade bei staatlichen Bedrohungsakteuren ist nicht davon auszugehen, dass sie ihre Tätigkeit einstellen oder funktionierende Tools ausmustern. Die seltenen Sichtungen von Kapeka können daher ein zusätzlicher Hinweis auf einen staatlichen geführten, avancierten Hackerangriff (APT) sein. Diese Angriffe können sich über Jahre erstrecken – etwa im Krieg zwischen Russland und der Ukraine.

Mehr bei WithSecure.com

 


Über WithSecure

WithSecure, ehemals F-Secure Business, ist der zuverlässige Partner für Cybersicherheit. IT-Dienstleister, Managed Security Services Provider und andere Unternehmen vertrauen WithSecure – wie auch große Finanzinstitute, Industrieunternehmen und führende Kommunikations- und Technologieanbieter. Mit seinem ergebnisorientierten Ansatz der Cybersicherheit hilft der finnische Sicherheitsanbieter Unternehmen dabei, die Sicherheit in Relation zu den Betriebsabläufen zu setzen und Prozesse zu sichern sowie Betriebsunterbrechungen vorzubeugen.


 

Passende Artikel zum Thema

Amazon-S3-Datensätze einfach zurücksetzen

Mit der neuen Funktionalität Clumio Backtrack von Commvault können Unternehmen in Amazon Simple Storage Service (Amazon S3) gespeicherte Objekte oder ➡ Weiterlesen

BSI: Kritische 9.3 Schwachstelle in PaloAlto Networks Expedition

Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. ➡ Weiterlesen

Hochgefährliche Schwachstellen in Firefox und Thunderbird 

Mozilla hat am 7. Januar 2025 mehrere Sicherheitsupdates für Firefox und Thunderbird veröffentlicht, um Schwachstellen mit hoher Priorität zu beheben. ➡ Weiterlesen

Ransomware-Angriff auf Fraunhofer-Institut

Ein Ransomware-Angriffe hat bereits am 27. Dezember 2024 das Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO in Stuttgart getroffen. Das Institut ➡ Weiterlesen

Deepnude AI Image Generator als Köder

Vor kurzem haben Cybersicherheitsexperten von Silent Push in einem Blogbeitrag eine neue Angriffstaktik der Bedrohungsgruppe FIN7 vorgestellt. Die Cyberkriminellen nutzen ➡ Weiterlesen

Prognosen für 2025

Die Cybersecurity-Landschaft entwickelt sich mit atemberaubender Geschwindigkeit. Für 2025 zeichnen sich bereits heute einige kritische Entwicklungen ab, die besonders Unternehmen ➡ Weiterlesen

Schutz vor KI-Jailbreaks durch Open-Source-Tool 

FuzzyAI, ein quelloffenes Framework, hat bislang für jedes getestete Modell einen KI-Jailbreak gefunden. Es hilft Unternehmen, Schwachstellen in ihren KI-Modellen ➡ Weiterlesen

Zero-Day-Schwachstelle lässt Fernzugriff zu 

Die Arctic Wolf Labs Threat Intelligence Teams haben neue schädliche Aktivitäten im Zusammenhang mit der von Huntress aufgedeckten Zero-Day-Schwachstelle in ➡ Weiterlesen