Categories: SicherheitVirus

Hacker verbreiten neue Windows-Backdoor per Word-Add-in

Der Sicherheitsanbieter WithSecure, vormals F-Secure Business, hat eine neue Backdoor namens Kapeka entdeckt, die für zielgerichtete Angriffe gegen Opfer in Osteuropa eingesetzt wird. Aufgrund der Komplexität der Schadsoftware vermuten die Forscher, dass Akteure mit staatlicher Unterstützung für die Attacken verantwortlich sind. Die ausgewählten Ziele sowie Ähnlichkeiten mit bekannten Schadprogrammen sollen zudem eine Verbindung zur russischen Gruppe Sandworm nahelegen.

„Die Kapeka-Backdoor hat aufgrund ihrer Verbindung zu russischen APT-Aktivitäten – insbesondere der Sandworm-Gruppe – Anlass zur Sorge gegeben. Ihre geringe Verbreitung und ihr gezielter Einsatz, der vor allem in Osteuropa beobachtet wurde, lassen vermuten, dass es sich um ein maßgeschneidertes Tool handelt, das bei Angriffen mit begrenztem Umfang eingesetzt wird. Weitere Analysen ergaben Überschneidungen mit GreyEnergy, einem anderen Toolkit, das mit Sandworm in Verbindung gebracht wird, was die Verbindung zu dieser Gruppe noch verstärkt und mögliche Auswirkungen auf Zielpersonen in der Region aufzeigt“, sagte Mohammad Kazem Hassan Nejad, Researcher bei WithSecure Intelligence.

Der Analyse zufolge ist Kapeka eine Windows-Bibliothek (DLL-Datei), die in C++ geschrieben und mit Visual Studio 2017 kompiliert wurde. Die Datei wird als Add-in für Word getarnt (Dateiendung .wll). Das falsche Add-in ist unter anderem in der Lage, Log-Events unter Windows sowie neu gestartete Prozesse zu überwachen.

Darüber hinaus bietet Kapeka alle „notwendigen Funktionen“, um weitere Schadprogramme einzuschleusen und den Hintermännern einen dauerhaften Zugang zu einem infizierten System zu gewähren.

WithSecure geht auch davon aus, dass Kapeka bereits seit mindestens Mitte 2022 eingesetzt wird. Ende 2022 soll die Backdoor bei Angriffen verwendet worden sein, bei denen die Ransomware Prestige eingeschleust wurde.

„WithSecure hat Kapeka zuletzt im Mai 2023 beobachtet. Es ist ungewöhnlich, dass Bedrohungsakteure, vor allem nationalstaatliche, ihren Betrieb einstellen oder ihre Werkzeuge ganz entsorgen, insbesondere bevor sie öffentlich dokumentiert werden. Daher kann die seltene Sichtung von Kapeka ein Beweis für seine sorgfältige Nutzung durch einen fortschrittlichen, hartnäckigen Akteur bei Operationen sein, die sich über Jahre erstrecken, wie etwa der Russland-Ukraine-Konflikt. Es bleibt abzuwarten, ob die Entwickler und Betreiber von Kapeka sich mit neueren Versionen des Tools weiterentwickeln oder ein neues Toolkit entwickeln und verwenden, das Ähnlichkeiten mit Kapeka aufweist“, heißt es im Untersuchungsbericht zu Kapeka.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Podcast: Chancen und Risiken durch KI zum Schutz vor Hackerangriffen

Christoph Schuhwerk, CISO EMEA bei Zscaler, über den Einfluss von KI auf den permanenten Wettlauf…

11 Stunden ago

Außerplanmäßiges Update schließt Zero-Day-Lücke in Chrome

Von ihr geht ein hohes Risiko aus. Laut Google ist ein Exploit für die Chrome…

1 Tag ago

Hacker setzen neuartige Infostealer gegen Unternehmen ein

Kaspersky stellt eine hohe Nachfrage nach datenstehlender Malware in kriminellen Kreisen fest. Die Infostealer sind…

1 Tag ago

KI-gestützte Betrugserkennung

Neue Funktion in GoTo Resolve schützt Nutzer von Mobilgeräten vor Finanzbetrug, indem sie Support-Sitzungen überwacht…

1 Tag ago

Europäischer Smartphonemarkt wächst zehn Prozent im ersten Quartal

Es ist das erste Plus seit dem dritten Quartal 2021. Die Marktforscher von Counterpoint rechnen…

2 Tagen ago

Megawatt-Kühlung für KI

Rittal hat eine neue Kühllösung vorgestellt, die über 1 Megawatt Kühlleistung erbringt und den Weg…

2 Tagen ago